网络家庭电子商务集团 PChome Online,继否认旗下网络服务露天拍卖会员账户遭盗后,又遭到业余资安研究人员在脸书踢爆,其于日前推出的服务 PChome IM 有安全性问题。
▲ iOS 操作系统下实作推播服务的范例程式。(Source:林姓网友)
PChome Online 网络家庭于 7 月 13 日推出新手机通讯软件服务 PChome IM(中文称“连络”),随即在网络上引发议论,多数讨论认为其设计的功能与集团意图进行的商务策略令人感到疑惑,但进来随着诸多开发工程师的研究,在网络上引发安全疑虑的讨论。
PChome IM Push Forgery转自 Anfa Sam。
Posted by Zhi-Wei Cai on 2015年7月17日
▲ 资讯安全研究者实作,假冒 PChome IM 传送的推播通知,这个实作有一些先决限制条件,例如该发送手机已经被安装了恶意软件。
多数讯息传输、储存与认证金钥并未经过适当加密
首先,乐堤科技资深工程师 Lova 发现,PChome IM 是直接以 HTTP 协定(HTTP GET / POST),在未经过加密协定的情况下,明文传递讯息。网友工程师认为,在不考虑任何其他方法的情况下,起码应该要使用 HTTPS 的方式加密传输讯息。
▲ 工程师可以直接透过网络传输内容监看软件,看到明码的传输讯息。(Source:网友 Lova)
戴夫寇尔的资讯安全顾问 Anfa Sam 则提到,PChome IM 的手机版程式,将个人聊天讯息直接以明码的方式存在一般手机记忆卡的资料夹底下。因为记忆卡是可以让其他 App 任意读取的(一般而言,没有权限管制,也不容易控制),使用者只要透过指令提取,就可以获得包含传讯时间、Google 或 Apple Server 发讯时间、送信者、收信者等等,非常详细完整的结构化讯息资料。
▲ Anfa Sam 在装有 PChome IM 的手机记忆卡上,找到明码、结构化的讯息资料。(Source:Anfa Sam)
资讯安全研究者林姓网友发现,从 PChome IM 的 iOS 程式,可以直接看到 App 里包了好几个与主机沟通所需要的私钥,并没有以密码方式收妥。专家表示,一般来说与主机沟通需要经过身份认证,通常有许多作法,其中一项常见的作法是透过私钥来让主机辨别身份,就像透过钥匙来告诉门你是谁,这把钥匙平常应该要收好,让人看不出他是什么形状的钥匙,而 PChome IM 并没有做到这点。
简讯认证与推播机制设计易遭到中间人破解控制假冒
独立开发者暨业余资安研究人员 Zhi-Wei Cai 认为,PChome IM 目前是一个设计非常不安全的程式,暂时极度不建议使用这个软件来做任何金钱交易。
除了上述多数 HTTP 请求都没有经过 SSL 加密,与所有 SSL 凭证密码都是明文储存之外,他发现 PChome IM 透过简讯认证系统发送的账号密码也是明文。Zhi-Wei Cai 做了实验,发现透过 PChome IM 的简讯认证发送系统的发送过程并没有经过 SSL 加密,所以可以轻易拦截到验证码,且虽然 PChome IM 的程式端,已经检查发送电话是否是台湾合法的电话号码,但发送系统本身并没有检查机制。因此,恶意使用者可以轻易透过该发送系统轻易发到他国(附图为发送系统成功发送到欧洲的电话号码),并且透过该简讯伪装为 PChome 官方进行诈骗。这中间的所有系统资讯都可能可以轻易被有心人士拦截。
▲ PChome IM 所使用的简讯认证系统未检查,可以发送简讯至欧洲。(Source:Zhi-Wei Cai)
在上述的金钥加密问题里,有其中两个是与苹果 apns server 通讯使用的,APNS 全名为 Apple Push Notification Service(Google 也有类似的服务在 Android 平台上,叫做 Google Cloud Messaging,简称 GCM),通常作为 Apple iTunes 平台提供推送通知所需的凭证。这意味着,如果有恶意使用者拿着这两个没有经过密码处理的私钥,加上拿到某个 iOS 使用者的 apns token(辨认 iOS 使用者的认证环),就可假冒 PChome IM 传送推播服务讯息给该 iOS 使用者。
▲ 恶意使用者可以假冒 PChome IM ,透过苹果推播讯息服务推播假造讯息给一般不知情的使用者。(Source:林姓网友)
Anfa Sam 表示,一般手机的推播讯息机制运作,应当是使用者将需要发送推播的需求,发送到 IM 的服务器,透过 IM 向 Google 或 Apple API 申请好的私钥,转请 Google 或 Apple 服务器推播,Google 或 Apple 的服务器再透过自己的推播系统,传送给其他使用者。但是 PChome IM 的作法是,使用者向 PChome IM 的服务器发送推播的需求,PChome IM 的服务器把他们向 Google 或 Apple API 申请好的私钥传给使用者手机,由使用者的手机自己向 Google 或 Apple 的服务器请求推播。因此,恶意使用者可以直接利用这组金钥加上上述的使用者认证环,假冒 PChome IM 传讯息给已经被知道使用者认证环的同一个使用者。
网络家庭集团旗下的露天拍卖服务,甫于上月底被网友于 PTT 爆料其会员遭大量盗用账户,但经过其集团的否认。据说与近来热门的 Pi 行动钱包为各自独立的开发团队的新推服务 PChome IM 有了安全性问题,看来网络开发者与资讯安全研究社群,十分看重台湾的网络继电子商务服务公司所推出的新服务,短短时间就有许多网络讨论。但截至发稿为止,数位时代还无法联络上 PChome IM,针对已经在网络上超过一天的相关讨论进行说明。
▲ PChome IM 的 iOS 程式包装里,那些应该加密而没有加密的私钥。(Source:林姓网友)
不愿意具名的资讯安全研究者提醒:
使用者使用这类通讯软件,除了要注意平时要小心维护个人资料,不要轻易在这类通讯软件泄漏个人交易资讯外,也最好注意这些软件服务公司(无论是否为台湾公司)是否认真重视使用者资讯安全;在推出服务时,同时经过资讯安全人员的验证与检视。除此之外,也可以多注意资讯安全社群所发出的资讯安全讯息。对于开发商来说,在服务上线前,非常建议一定要预留资源与时间,做严谨的安全测试,确保消费者安全。
(本文由 数位时代 授权转载;首图来源:PChome)
延伸阅读:
- PChome Online 推即时通讯 IM App,串接 Skype、贴图免费、聊天室人数无上限
