網路家庭電子商務集團 PChome Online,繼否認旗下網路服務露天拍賣會員帳戶遭盜後,又遭到業餘資安研究人員在臉書踢爆,其於日前推出的服務 PChome IM 有安全性問題。
PChome Online網路家庭於7月13日推出新手機通訊軟體服務 PChome IM (中文稱「連絡」),隨即在網路上引發議論,多數討論認為其設計的功能與集團意圖進行的商務策略令人感到疑惑,但進來隨著諸多開發工程師的研究,在網路上引發安全疑慮的討論。
▲iOS 作業系統下實作推播服務的範例程式,林姓網友提供。
多數訊息傳輸、儲存與認證金鑰並未經過適當加密
首先,樂堤科技資深工程師 Lova 發現,PChome IM是直接以 HTTP 協定 (HTTP GET/POST),在未經過加密協定的情況下,明文傳遞訊息。網友工程師認為,再不考慮任何其它方法的情況下,起碼應該要使用 HTTPS 的方式加密傳輸訊息。
▲工程師可以直接透過網路傳輸內容監看軟體,看到明碼的傳輸訊息,網友 Lova 提供。
戴夫寇爾的資訊安全顧問 Anfa Sam 則提到,PChome IM 的手機版程式,將個人聊天訊息直接以明碼的方式存在一般手機記憶卡的資料夾底下。因為記憶卡是可以讓其他 App 任意讀取的(一般而言,沒有權限管制,也不容易控制),使用者只要透過指令提取,就可以獲得包含傳訊時間、Google或Apple Server發訊時間、送信者、收信者等等,非常詳細完整的結構化訊息資料。
▲資訊安全研究者 Anfa Sam 在裝有 PChome IM 的手機上,找到明碼、結構化的訊息資料,Anfa Sam 提供。
資訊安全研究者林姓網友發現,從 PChome IM 的 iOS 程式,可以直接看到 App 裡包了好幾個與主機溝通所需要的私鑰並沒有以密碼方式收妥。專家表示,一般來說與主機溝通需要經過身份認證,通常有許多作法,其中一項常見的作法是透過私鑰來讓主機辨別身份,就像透過鑰匙來告訴門你是誰,這把鑰匙平常應該要收好讓人看不出他是什麼形狀的鑰匙,而 PChome IM 並沒有做到這點。
簡訊認證與推播機制設計易遭到中間人破解控制假冒
獨立開發者暨業餘資安研究人員 Zhi-Wei Cai 認為,PChome IM 目前是一個設計非常不安全的程式,暫時極度不建議使用這個軟體來做任何金錢交易。
除了上述多數HTTP請求都沒有經過SSL加密,與所有SSL憑證密碼都是明文儲存之外,他發現 PChome IM 透過簡訊認證系統發送的帳號密碼也是明文。Zhi-Wei Cai 做了實驗,發現可以透過 PChome IM 的簡訊認證發送系統的發送過程並沒有經過 SSL 加密,所以可以輕易攔截到驗證碼,且雖然 PChome IM 的程式端已經檢查發送電話是否是台灣合法的電話號碼,但發送系統本身並沒有檢查機制。因此,惡意使用者可以輕易透過該發送系統輕易發到他國(附圖為發送系統成功發送到歐洲的電話號碼),並且透過該簡訊偽裝為 PChome 官方進行詐騙。這中間的所有系統資訊都可能可以輕易被有心人士攔截。
▲PChome IM所使用的簡訊認證系統未檢查,可以發送簡訊至歐洲,Zhi-Wei Cai 提供。
在上述的金鑰加密問題裡,有其中兩隻是與蘋果 apns server 通訊使用的,APNS 全名為 Apple Push Notification Service (Google 也有類似的服務在 Android 平台上,叫做 Google Cloud Messaging, 簡稱 GCM),通常作為 Apple iTunes 平台提供推送通知所需的憑證。這意味著,如果有惡意使用者拿著這兩隻沒有經過密碼處理的私鑰,加上拿到某個 iOS 使用者的 apns token (辨認 iOS 使用者的認證環),就可假冒 PChome IM 傳送推播服務訊息給該 iOS 使用者。
▲惡意使用者可以假冒 PChome IM ,透過蘋果推播訊息服務推播假造訊息給一般不知情的使用者,林姓網友提供。
Anfa Sam 表示,一般手機的推播訊息機制運作,應當是使用者將需要發送推播的需求,發送到 IM 的伺服器,透過 IM 向 Google 或 Apple API申請好的私鑰,轉請 Google 或 Apple 伺服器推播,Google或Apple的伺服器再透過自己的推播系統,傳送給其他使用者。但是 PChome IM 的作法是,使用者向 PChome IM 的伺服器發送推播的需求,PChome IM 的伺服器把他們向 Google 或Apple API申請好的私鑰傳給使用者手機,由使用者的手機自己向 Google 或 Apple 的伺服器請求推播。因此,惡意使用者可以直接利用這組金鑰加上上述的使用者認證環,假冒 PChome IM 傳訊息給已經被知道使用者認證環的同一個使用者。
網路家庭集團旗下的露天拍賣服務,甫於上月底被網友於 PTT 爆料其會員遭大量盜用帳戶,但經過其集團的否認。據說與近來熱門的 Pi行動錢包為各自獨立的開發團隊的新推服務 PChome IM 有了安全性問題,看來網路開發者與資訊安全研究社群,十分看重台灣的網路暨電子商務服務公司所推出的新服務,短短時間就有許多網路討論。但截至發稿為止,數位時代還無法聯絡上 PChome IM,針對已經在網路上超過一天的相關討論進行說明。
▲ iOS 程式包裝裡,那些應該加密而沒有加密的私鑰,林姓網友提供。
不願意具名的資訊安全研究者提醒:
使用者使用這類通訊軟體,除了要注意平時要小心維護個人資料,不要輕易在這類通訊軟體洩漏個人交易資訊外,也最好注意這些軟體服務公司(無論是否為台灣公司)是否認真重視使用者資訊安全;在推出服務時,同時經過資訊安全人員的驗證與檢視。除此之外,也可以多注意資訊安全社群所發出的資訊安全訊息。對於開發商來說,在服務上線前,非常建議一定要預留資源與時間,做嚴謹的安全測試,確保消費者安全。
- 本文轉載自數位時代
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!