網(wǎng)路家庭電子商務(wù)集團(tuán)(8044-tw) PChome Online��,繼否認(rèn)旗下網(wǎng)路服務(wù)露天拍賣會員帳戶遭盜后,又遭到業(yè)余資安研究人員在臉書踢爆���,其于日前推出的服務(wù) PChome IM 有安全性問題�����。
PChome Online網(wǎng)路家庭于7月13日推出新手機(jī)通訊軟體服務(wù) PChome IM (中文稱“連絡(luò)”),隨即在網(wǎng)路上引發(fā)議論��,多數(shù)討論認(rèn)為其設(shè)計的功能與集團(tuán)意圖進(jìn)行的商務(wù)策略令人感到疑惑�,但進(jìn)來隨著諸多開發(fā)工程師的研究,在網(wǎng)路上引發(fā)安全疑慮的討論���。
首先����,樂堤科技資深工程師 Lova 發(fā)現(xiàn)����,PChome IM是直接以 HTTP 協(xié)定 (HTTP GET/POST),在未經(jīng)過加密協(xié)定的情況下�����,明文傳遞訊息。網(wǎng)友工程師認(rèn)為�,再不考慮任何其它方法的情況下,起碼應(yīng)該要使用 HTTPS 的方式加密傳輸訊息���。
戴夫寇爾的資訊安全顧問 Anfa Sam 則提到����,PChome IM 的手機(jī)版程式�,將個人聊天訊息直接以明碼的方式存在一般手機(jī)記憶卡的資料夾底下。因?yàn)橛洃浛ㄊ强梢宰屍渌?App 任意讀取的(一般而言�����,沒有權(quán)限管制��,也不容易控制)����,使用者只要透過指令提取,就可以獲得包含傳訊時間�、Google或Apple Server發(fā)訊時間、送信者�、收信者等等,非常詳細(xì)完整的結(jié)構(gòu)化訊息資料���。
資訊安全研究者林姓網(wǎng)友發(fā)現(xiàn)�,從 PChome IM 的 iOS 程式,可以直接看到 App 里包了好幾個與主機(jī)溝通所需要的私鑰并沒有以密碼方式收妥��。專家表示�����,一般來說與主機(jī)溝通需要經(jīng)過身份認(rèn)證�,通常有許多作法����,其中一項(xiàng)常見的作法是透過私鑰來讓主機(jī)辨別身份,就像透過鑰匙來告訴門你是誰�����,這把鑰匙平常應(yīng)該要收好讓人看不出他是什幺形狀的鑰匙�����,而 PChome IM 并沒有做到這點(diǎn)����。
除了上述多數(shù)HTTP請求都沒有經(jīng)過SSL加密��,與所有SSL憑證密碼都是明文儲存之外�����,他發(fā)現(xiàn) PChome IM 透過簡訊認(rèn)證系統(tǒng)發(fā)送的帳號密碼也是明文����。Zhi-Wei Cai 做了實(shí)驗(yàn)����,發(fā)現(xiàn)可以透過 PChome IM 的簡訊認(rèn)證發(fā)送系統(tǒng)的發(fā)送過程并沒有經(jīng)過 SSL 加密,所以可以輕易攔截到驗(yàn)證碼����,且雖然 PChome IM 的程式端已經(jīng)檢查發(fā)送電話是否是臺灣合法的電話號碼,但發(fā)送系統(tǒng)本身并沒有檢查機(jī)制��。因此�����,惡意使用者可以輕易透過該發(fā)送系統(tǒng)輕易發(fā)到他國(附圖為發(fā)送系統(tǒng)成功發(fā)送到歐洲的電話號碼)����,并且透過該簡訊偽裝為 PChome 官方進(jìn)行詐騙����。這中間的所有系統(tǒng)資訊都可能可以輕易被有心人士攔截�。
在上述的金鑰加密問題里,有其中兩只是與蘋果 apns server 通訊使用的��,APNS 全名為 Apple Push Notification Service (Google 也有類似的服務(wù)在 Android 平臺上��,叫做 Google Cloud Messaging, 簡稱 GCM)�,通常作為 Apple iTunes 平臺提供推送通知所需的憑證。這意味著���,如果有惡意使用者拿著這兩只沒有經(jīng)過密碼處理的私鑰,加上拿到某個 iOS 使用者的 apns token (辨認(rèn) iOS 使用者的認(rèn)證環(huán))��,就可假冒 PChome IM 傳送推播服務(wù)訊息給該 iOS 使用者���。
Anfa Sam 表示�,一般手機(jī)的推播訊息機(jī)制運(yùn)作���,應(yīng)當(dāng)是使用者將需要發(fā)送推播的需求����,發(fā)送到 IM 的伺服器,透過 IM 向 Google 或 Apple API申請好的私鑰�,轉(zhuǎn)請 Google 或 Apple 伺服器推播,Google或Apple的伺服器再透過自己的推播系統(tǒng)���,傳送給其他使用者�����。但是 PChome IM 的作法是�����,使用者向 PChome IM 的伺服器發(fā)送推播的需求�,PChome IM 的伺服器把他們向 Google 或Apple API申請好的私鑰傳給使用者手機(jī)����,由使用者的手機(jī)自己向 Google 或 Apple 的伺服器請求推播。因此�,惡意使用者可以直接利用這組金鑰加上上述的使用者認(rèn)證環(huán),假冒 PChome IM 傳訊息給已經(jīng)被知道使用者認(rèn)證環(huán)的同一個使用者���。
網(wǎng)路家庭集團(tuán)旗下的露天拍賣服務(wù)��,甫于上月底被網(wǎng)友于 PTT 爆料其會員遭大量盜用帳戶�,但經(jīng)過其集團(tuán)的否認(rèn)。據(jù)說與近來熱門的 Pi行動錢包為各自獨(dú)立的開發(fā)團(tuán)隊的新推服務(wù) PChome IM 有了安全性問題�����,看來網(wǎng)路開發(fā)者與資訊安全研究社群�,十分看重臺灣的網(wǎng)路繼電子商務(wù)服務(wù)公司所推出的新服務(wù),短短時間就有許多網(wǎng)路討論�。但截至發(fā)稿為止,數(shù)位時代還無法聯(lián)絡(luò)上 PChome IM��,針對已經(jīng)在網(wǎng)路上超過一天的相關(guān)討論進(jìn)行說明���。
文章來源:機(jī)房監(jiān)控 http://qdlanhai.cn
