【iOS取证篇】浅谈iPhone手机的失窃设备保护功能

iPhone 的"失窃设备保护"功能在iOS 17.3 或更高版本中提供，在 iOS 18.2之后自动开启。当"失窃设备保护"开启后，如不在熟悉的地点尝试关闭"失窃设备保护"功能，系统会启动安全延迟，必须等到延迟过后（1小时）才能关闭"失窃设备保护"---【蘇小沐】

1. 实验环境

系统环境
iPhone 16 Pro Max，iOS 18.3.2

1.1 什么是"失窃设备保护"功能

iPhone 的"失窃设备保护"功能在iOS 17.3 或更高版本中提供，在 iOS 18.2之后自动开启，主要是为了保护iPhone账户和个人信息安全，当设备丢失或者远离熟悉的地点时，为设备增添一层安全防护。

1.2 手动开启"失窃设备保护"

要打开"失窃设备保护"，必须为 Apple 账户启用双重认证，并在 iPhone 上设置或启用以下功能：设备密码、面容 ID或触控 ID，以及"重要地点"*（定位服务）。还需要打开"查找"，并且在启用"失窃设备保护"后，不可关闭"查找"。

"重要地点"是"定位服务"中的一个选项，路径："设置">"隐私与安全">"定位服务">"系统服务">"重要地点"。

1.3 关闭"失窃设备保护"

在"设置"点击"失窃设备保护"。

1.3.1 面容 ID 与密码

路径：设置->面容 ID 与密码->输入"锁屏密码"。

下拉找到"失窃设备保护"功能，可查看"失窃设备保护"是否开启。

关闭状态

1.3.2 关闭失窃模式

当从 iCloud 云备份恢复设备或直接从以前的 iPhone 传输到新 iPhone 时，设备设置（包括"失窃设备保护"）也会恢复。在短暂延迟以从 iCloud 同步熟悉的地点后，"失窃设备保护"安全措施会自动在新设备上恢复。

**面容 ID 或触控 ID 生物识别认证：**在进行某些操作（例如访问储存的密码和信用卡）时，系统会要求使用面容 ID 或触控 ID 进行一次生物识别认证，而且不可使用密码替代或回退，从而确保只有机主自己可以访问这些功能。
**安全延迟：**在进行某些安全相关操作（例如更改 Apple 账户密码）后，还需要等待一小时后才能进行第二次面容 ID 或触控 ID 认证。

1.3.3 "始终"需要采取额外的安全措施

默认情况下，只有当你的 iPhone 离开重要地点时，才需要采取"失窃设备保护"的额外安全措施。

如果希望 iPhone 无论位于何处都采取额外的"失窃设备保护"安全措施，可以调节相应设置。

路径："设置">"面容 ID（或触控 ID）与密码">"失窃设备保护"，然后在"需要安全延迟"下选取"始终"。
当选取这一选项后，对某些安全设置的更新将始终需要启动延迟，需要生物识别认证的操作将始终需要面容 ID 或触控 ID**（不可使用密码替代）**，即使在家或办公室等熟悉的地点也是如此。

1.3.4 "安全延迟"启动机制

启用"失窃设备保护"后，你还可能需要等待一小时后才能使用你的 iPhone 来更改关键安全设置或 Apple 账户 。如果你的 iPhone 不在熟悉的地点，那么当你要更新如下设置时，你必须使用面容 ID 或触控 ID 进行认证（不可使用密码替代或回退），等待安全延迟结束（1小时后，如果检测到设备到达熟悉的地点后，设备可能会提前结束安全延迟），然后再次使用面容 ID 或触控 ID 进行认证：