Guto, tem várias brechas.
Por padrão, vc não precisa de senha pra mudar a FaceID. Vacilo enorme, pois nos antigos (com touchID) precisava.
Não precisa de senha pra desligar o aparelho. (ou seja, o cara rouba, desliga o telefone, e já era o rastreamento - exceto nos mais novos).
E o pior disparado: vc recupera o acesso à appleID usando um número de telefone.
Daí o bandido transfere o seu número pra outro chip em branco (via sim swap ou até ligando na operadora) e já era.
E por fim, procure por "bypass icloud" no google, tá cheio de esquemas/ferramentas pra "invadir" o icloud.
Fora isso tem a segurança porca de alguns apps de banco que segundo relatos ou tem políticas frouxas de recuperação de senha, ou, permitem fazer transações sem um código adicional. Ou no máximo via SMS (outra furada).
E ainda... tem os esquemas de recuperação de senha via email - se o bandido pegou o teu telefone desbloqueado (ou conseguiu "burlar" o bloqueio), ele entra no app e diz que esqueceu a senha... se a recuperação for por SMS ou email, tá fácil - no caso de email, ele abre o app de email no próprio telefone e tchau dinheiro.
Ah, tem relatos de gente por ai que pediram pra bloquear o IMEI e mesmo assim o telefone "ressuscitou"...
São só coisas pra vcs pensarem (e eu também)...
Em tempo: eu não uso mais iPhone há algum tempo...