網(wǎng)路家庭電子商務(wù)集團(tuán)(8044-tw) PChome Online，繼否認(rèn)旗下網(wǎng)路服務(wù)露天拍賣會(huì)員帳戶遭盜后，又遭到業(yè)余資安研究人員在臉書踢爆，其于日前推出的服務(wù) PChome IM 有安全性問(wèn)題。

PChome Online網(wǎng)路家庭于7月13日推出新手機(jī)通訊軟體服務(wù) PChome IM (中文稱“連絡(luò)”），隨即在網(wǎng)路上引發(fā)議論，多數(shù)討論認(rèn)為其設(shè)計(jì)的功能與集團(tuán)意圖進(jìn)行的商務(wù)策略令人感到疑惑，但進(jìn)來(lái)隨著諸多開發(fā)工程師的研究，在網(wǎng)路上引發(fā)安全疑慮的討論。

首先，樂(lè)堤科技資深工程師 Lova 發(fā)現(xiàn)，PChome IM是直接以 HTTP 協(xié)定 (HTTP GET/POST)，在未經(jīng)過(guò)加密協(xié)定的情況下，明文傳遞訊息。網(wǎng)友工程師認(rèn)為，再不考慮任何其它方法的情況下，起碼應(yīng)該要使用 HTTPS 的方式加密傳輸訊息。

戴夫寇爾的資訊安全顧問(wèn) Anfa Sam 則提到，PChome IM 的手機(jī)版程式，將個(gè)人聊天訊息直接以明碼的方式存在一般手機(jī)記憶卡的資料夾底下。因?yàn)橛洃浛ㄊ强梢宰屍渌?App 任意讀取的(一般而言，沒(méi)有權(quán)限管制，也不容易控制)，使用者只要透過(guò)指令提取，就可以獲得包含傳訊時(shí)間、Google或Apple Server發(fā)訊時(shí)間、送信者、收信者等等，非常詳細(xì)完整的結(jié)構(gòu)化訊息資料。

資訊安全研究者林姓網(wǎng)友發(fā)現(xiàn)，從 PChome IM 的 iOS 程式，可以直接看到 App 里包了好幾個(gè)與主機(jī)溝通所需要的私鑰并沒(méi)有以密碼方式收妥。專家表示，一般來(lái)說(shuō)與主機(jī)溝通需要經(jīng)過(guò)身份認(rèn)證，通常有許多作法，其中一項(xiàng)常見(jiàn)的作法是透過(guò)私鑰來(lái)讓主機(jī)辨別身份，就像透過(guò)鑰匙來(lái)告訴門你是誰(shuí)，這把鑰匙平常應(yīng)該要收好讓人看不出他是什幺形狀的鑰匙，而 PChome IM 并沒(méi)有做到這點(diǎn)。

除了上述多數(shù)HTTP請(qǐng)求都沒(méi)有經(jīng)過(guò)SSL加密，與所有SSL憑證密碼都是明文儲(chǔ)存之外，他發(fā)現(xiàn) PChome IM 透過(guò)簡(jiǎn)訊認(rèn)證系統(tǒng)發(fā)送的帳號(hào)密碼也是明文。Zhi-Wei Cai 做了實(shí)驗(yàn)，發(fā)現(xiàn)可以透過(guò) PChome IM 的簡(jiǎn)訊認(rèn)證發(fā)送系統(tǒng)的發(fā)送過(guò)程并沒(méi)有經(jīng)過(guò) SSL 加密，所以可以輕易攔截到驗(yàn)證碼，且雖然 PChome IM 的程式端已經(jīng)檢查發(fā)送電話是否是臺(tái)灣合法的電話號(hào)碼，但發(fā)送系統(tǒng)本身并沒(méi)有檢查機(jī)制。因此，惡意使用者可以輕易透過(guò)該發(fā)送系統(tǒng)輕易發(fā)到他國(guó)(附圖為發(fā)送系統(tǒng)成功發(fā)送到歐洲的電話號(hào)碼)，并且透過(guò)該簡(jiǎn)訊偽裝為 PChome 官方進(jìn)行詐騙。這中間的所有系統(tǒng)資訊都可能可以輕易被有心人士攔截。

在上述的金鑰加密問(wèn)題里，有其中兩只是與蘋果 apns server 通訊使用的，APNS 全名為 Apple Push Notification Service (Google 也有類似的服務(wù)在 Android 平臺(tái)上，叫做 Google Cloud Messaging, 簡(jiǎn)稱 GCM)，通常作為 Apple iTunes 平臺(tái)提供推送通知所需的憑證。這意味著，如果有惡意使用者拿著這兩只沒(méi)有經(jīng)過(guò)密碼處理的私鑰，加上拿到某個(gè) iOS 使用者的 apns token (辨認(rèn) iOS 使用者的認(rèn)證環(huán))，就可假冒 PChome IM 傳送推播服務(wù)訊息給該 iOS 使用者。

Anfa Sam 表示，一般手機(jī)的推播訊息機(jī)制運(yùn)作，應(yīng)當(dāng)是使用者將需要發(fā)送推播的需求，發(fā)送到 IM 的伺服器，透過(guò) IM 向 Google 或 Apple API申請(qǐng)好的私鑰，轉(zhuǎn)請(qǐng) Google 或 Apple 伺服器推播，Google或Apple的伺服器再透過(guò)自己的推播系統(tǒng)，傳送給其他使用者。但是 PChome IM 的作法是，使用者向 PChome IM 的伺服器發(fā)送推播的需求，PChome IM 的伺服器把他們向 Google 或Apple API申請(qǐng)好的私鑰傳給使用者手機(jī)，由使用者的手機(jī)自己向 Google 或 Apple 的伺服器請(qǐng)求推播。因此，惡意使用者可以直接利用這組金鑰加上上述的使用者認(rèn)證環(huán)，假冒 PChome IM 傳訊息給已經(jīng)被知道使用者認(rèn)證環(huán)的同一個(gè)使用者。

網(wǎng)路家庭集團(tuán)旗下的露天拍賣服務(wù)，甫于上月底被網(wǎng)友于 PTT 爆料其會(huì)員遭大量盜用帳戶，但經(jīng)過(guò)其集團(tuán)的否認(rèn)。據(jù)說(shuō)與近來(lái)熱門的 Pi行動(dòng)錢包為各自獨(dú)立的開發(fā)團(tuán)隊(duì)的新推服務(wù) PChome IM 有了安全性問(wèn)題，看來(lái)網(wǎng)路開發(fā)者與資訊安全研究社群，十分看重臺(tái)灣的網(wǎng)路繼電子商務(wù)服務(wù)公司所推出的新服務(wù)，短短時(shí)間就有許多網(wǎng)路討論。但截至發(fā)稿為止，數(shù)位時(shí)代還無(wú)法聯(lián)絡(luò)上 PChome IM，針對(duì)已經(jīng)在網(wǎng)路上超過(guò)一天的相關(guān)討論進(jìn)行說(shuō)明。

文章來(lái)源：機(jī)房監(jiān)控 http://m.u88-cn-zhifuxiaoxiangmu.cn