網路家庭電子商務集團(8044-tw) PChome Online，繼否認旗下網路服務露天拍賣會員帳戶遭盜后，又遭到業余資安研究人員在臉書踢爆，其于日前推出的服務 PChome IM 有安全性問題。

PChome Online網路家庭于7月13日推出新手機通訊軟體服務 PChome IM (中文稱“連絡”），隨即在網路上引發議論，多數討論認為其設計的功能與集團意圖進行的商務策略令人感到疑惑，但進來隨著諸多開發工程師的研究，在網路上引發安全疑慮的討論。

首先，樂堤科技資深工程師 Lova 發現，PChome IM是直接以 HTTP 協定 (HTTP GET/POST)，在未經過加密協定的情況下，明文傳遞訊息。網友工程師認為，再不考慮任何其它方法的情況下，起碼應該要使用 HTTPS 的方式加密傳輸訊息。

戴夫寇爾的資訊安全顧問 Anfa Sam 則提到，PChome IM 的手機版程式，將個人聊天訊息直接以明碼的方式存在一般手機記憶卡的資料夾底下。因為記憶卡是可以讓其他 App 任意讀取的(一般而言，沒有權限管制，也不容易控制)，使用者只要透過指令提取，就可以獲得包含傳訊時間、Google或Apple Server發訊時間、送信者、收信者等等，非常詳細完整的結構化訊息資料。

資訊安全研究者林姓網友發現，從 PChome IM 的 iOS 程式，可以直接看到 App 里包了好幾個與主機溝通所需要的私鑰并沒有以密碼方式收妥。專家表示，一般來說與主機溝通需要經過身份認證，通常有許多作法，其中一項常見的作法是透過私鑰來讓主機辨別身份，就像透過鑰匙來告訴門你是誰，這把鑰匙平常應該要收好讓人看不出他是什幺形狀的鑰匙，而 PChome IM 并沒有做到這點。

除了上述多數HTTP請求都沒有經過SSL加密，與所有SSL憑證密碼都是明文儲存之外，他發現 PChome IM 透過簡訊認證系統發送的帳號密碼也是明文。Zhi-Wei Cai 做了實驗，發現可以透過 PChome IM 的簡訊認證發送系統的發送過程并沒有經過 SSL 加密，所以可以輕易攔截到驗證碼，且雖然 PChome IM 的程式端已經檢查發送電話是否是臺灣合法的電話號碼，但發送系統本身并沒有檢查機制。因此，惡意使用者可以輕易透過該發送系統輕易發到他國(附圖為發送系統成功發送到歐洲的電話號碼)，并且透過該簡訊偽裝為 PChome 官方進行詐騙。這中間的所有系統資訊都可能可以輕易被有心人士攔截。

在上述的金鑰加密問題里，有其中兩只是與蘋果 apns server 通訊使用的，APNS 全名為 Apple Push Notification Service (Google 也有類似的服務在 Android 平臺上，叫做 Google Cloud Messaging, 簡稱 GCM)，通常作為 Apple iTunes 平臺提供推送通知所需的憑證。這意味著，如果有惡意使用者拿著這兩只沒有經過密碼處理的私鑰，加上拿到某個 iOS 使用者的 apns token (辨認 iOS 使用者的認證環)，就可假冒 PChome IM 傳送推播服務訊息給該 iOS 使用者。

Anfa Sam 表示，一般手機的推播訊息機制運作，應當是使用者將需要發送推播的需求，發送到 IM 的伺服器，透過 IM 向 Google 或 Apple API申請好的私鑰，轉請 Google 或 Apple 伺服器推播，Google或Apple的伺服器再透過自己的推播系統，傳送給其他使用者。但是 PChome IM 的作法是，使用者向 PChome IM 的伺服器發送推播的需求，PChome IM 的伺服器把他們向 Google 或Apple API申請好的私鑰傳給使用者手機，由使用者的手機自己向 Google 或 Apple 的伺服器請求推播。因此，惡意使用者可以直接利用這組金鑰加上上述的使用者認證環，假冒 PChome IM 傳訊息給已經被知道使用者認證環的同一個使用者。

網路家庭集團旗下的露天拍賣服務，甫于上月底被網友于 PTT 爆料其會員遭大量盜用帳戶，但經過其集團的否認。據說與近來熱門的 Pi行動錢包為各自獨立的開發團隊的新推服務 PChome IM 有了安全性問題，看來網路開發者與資訊安全研究社群，十分看重臺灣的網路繼電子商務服務公司所推出的新服務，短短時間就有許多網路討論。但截至發稿為止，數位時代還無法聯絡上 PChome IM，針對已經在網路上超過一天的相關討論進行說明。

文章來源：機房監控 http://www.28ut.com