網(wǎng)路家庭電子商務集團(8044-tw) PChome Online，繼否認旗下網(wǎng)路服務露天拍賣會員帳戶遭盜后，又遭到業(yè)余資安研究人員在臉書踢爆，其于日前推出的服務 PChome IM 有安全性問題。

PChome Online網(wǎng)路家庭于7月13日推出新手機通訊軟體服務 PChome IM (中文稱“連絡”），隨即在網(wǎng)路上引發(fā)議論，多數(shù)討論認為其設計的功能與集團意圖進行的商務策略令人感到疑惑，但進來隨著諸多開發(fā)工程師的研究，在網(wǎng)路上引發(fā)安全疑慮的討論。

首先，樂堤科技資深工程師 Lova 發(fā)現(xiàn)，PChome IM是直接以 HTTP 協(xié)定 (HTTP GET/POST)，在未經(jīng)過加密協(xié)定的情況下，明文傳遞訊息。網(wǎng)友工程師認為，再不考慮任何其它方法的情況下，起碼應該要使用 HTTPS 的方式加密傳輸訊息。

戴夫寇爾的資訊安全顧問 Anfa Sam 則提到，PChome IM 的手機版程式，將個人聊天訊息直接以明碼的方式存在一般手機記憶卡的資料夾底下。因為記憶卡是可以讓其他 App 任意讀取的(一般而言，沒有權限管制，也不容易控制)，使用者只要透過指令提取，就可以獲得包含傳訊時間、Google或Apple Server發(fā)訊時間、送信者、收信者等等，非常詳細完整的結構化訊息資料。

資訊安全研究者林姓網(wǎng)友發(fā)現(xiàn)，從 PChome IM 的 iOS 程式，可以直接看到 App 里包了好幾個與主機溝通所需要的私鑰并沒有以密碼方式收妥。專家表示，一般來說與主機溝通需要經(jīng)過身份認證，通常有許多作法，其中一項常見的作法是透過私鑰來讓主機辨別身份，就像透過鑰匙來告訴門你是誰，這把鑰匙平常應該要收好讓人看不出他是什幺形狀的鑰匙，而 PChome IM 并沒有做到這點。

除了上述多數(shù)HTTP請求都沒有經(jīng)過SSL加密，與所有SSL憑證密碼都是明文儲存之外，他發(fā)現(xiàn) PChome IM 透過簡訊認證系統(tǒng)發(fā)送的帳號密碼也是明文。Zhi-Wei Cai 做了實驗，發(fā)現(xiàn)可以透過 PChome IM 的簡訊認證發(fā)送系統(tǒng)的發(fā)送過程并沒有經(jīng)過 SSL 加密，所以可以輕易攔截到驗證碼，且雖然 PChome IM 的程式端已經(jīng)檢查發(fā)送電話是否是臺灣合法的電話號碼，但發(fā)送系統(tǒng)本身并沒有檢查機制。因此，惡意使用者可以輕易透過該發(fā)送系統(tǒng)輕易發(fā)到他國(附圖為發(fā)送系統(tǒng)成功發(fā)送到歐洲的電話號碼)，并且透過該簡訊偽裝為 PChome 官方進行詐騙。這中間的所有系統(tǒng)資訊都可能可以輕易被有心人士攔截。

在上述的金鑰加密問題里，有其中兩只是與蘋果 apns server 通訊使用的，APNS 全名為 Apple Push Notification Service (Google 也有類似的服務在 Android 平臺上，叫做 Google Cloud Messaging, 簡稱 GCM)，通常作為 Apple iTunes 平臺提供推送通知所需的憑證。這意味著，如果有惡意使用者拿著這兩只沒有經(jīng)過密碼處理的私鑰，加上拿到某個 iOS 使用者的 apns token (辨認 iOS 使用者的認證環(huán))，就可假冒 PChome IM 傳送推播服務訊息給該 iOS 使用者。

Anfa Sam 表示，一般手機的推播訊息機制運作，應當是使用者將需要發(fā)送推播的需求，發(fā)送到 IM 的伺服器，透過 IM 向 Google 或 Apple API申請好的私鑰，轉請 Google 或 Apple 伺服器推播，Google或Apple的伺服器再透過自己的推播系統(tǒng)，傳送給其他使用者。但是 PChome IM 的作法是，使用者向 PChome IM 的伺服器發(fā)送推播的需求，PChome IM 的伺服器把他們向 Google 或Apple API申請好的私鑰傳給使用者手機，由使用者的手機自己向 Google 或 Apple 的伺服器請求推播。因此，惡意使用者可以直接利用這組金鑰加上上述的使用者認證環(huán)，假冒 PChome IM 傳訊息給已經(jīng)被知道使用者認證環(huán)的同一個使用者。

網(wǎng)路家庭集團旗下的露天拍賣服務，甫于上月底被網(wǎng)友于 PTT 爆料其會員遭大量盜用帳戶，但經(jīng)過其集團的否認。據(jù)說與近來熱門的 Pi行動錢包為各自獨立的開發(fā)團隊的新推服務 PChome IM 有了安全性問題，看來網(wǎng)路開發(fā)者與資訊安全研究社群，十分看重臺灣的網(wǎng)路繼電子商務服務公司所推出的新服務，短短時間就有許多網(wǎng)路討論。但截至發(fā)稿為止，數(shù)位時代還無法聯(lián)絡上 PChome IM，針對已經(jīng)在網(wǎng)路上超過一天的相關討論進行說明。

文章來源：機房監(jiān)控 http://www.28ut.com