找回密碼
 註冊
搜索

PChome IM 馬上被踢爆了.......

5533

主題

1萬

金錢

189

積分

不來恩

積分
189
brian 發表於 2015-7-16 14:03 | 顯示全部樓層 |閱讀模式
一開始我只是覺得 PCHome IM 很醜很難用,而且裝好老半天都沒半個人(我的朋友幾乎都沒人用)...
覺得應該又是一個開完記者會就沒流量的 PCHome 傳統秀,

不過... 最近有人把它給簡單的看了一下....


Zhi-Wei Cai :

PCHome IM 是一個設計非常不安全的程式,我極度不建議使用該軟體來做任何金錢交易。


軟體本身設計非常的不安全:SSL 憑證的密碼都是明文儲存不說,反正定多被用來發假的請求,而且多數請求都沒有 SSL。



02.jpg



但是簡訊認證系統的發送帳號密碼也是明文?雖然程式有檢查發送電話是否為在台灣,但是發送系統本身並沒有。為了證明這麼假設,我把簡訊發到德國去(見附圖),一樣可以成功收到,甚至可以假裝成 PCHome 的官方認證簡訊進行詐騙。

01.jpg

以 PCHome 只有買五萬封簡訊的額度而言,要是被惡意單位濫用那馬上就可以癱瘓整個驗證系統。(而且這個發送過程也是沒有 SSL!基本上可以輕易的攔截驗證碼。)

另外 logcat 上傳到伺服器一樣沒有加密,沒有 SSL,系統資訊可能被有心人士攔截。


不到十分鐘,我決定刪除這個軟體。我真心希望台灣的廠商能多關心一點點資安,只要多一點點就好。
補充:我本來無意去發現這個問題,唯我在分析手機流量時意外看到發送過程是未加密的,才開始意識到這個問題。如果相關單位覺得不妥,請告知移除文章。

https://www.facebook.com/x43x61x69/posts/665391940264350
Lova Shih:

好奇看一下PChome IM , timer 15秒下一次http request get message有點帥氣。

000sdf.jpg


https://www.facebook.com/photo.p ... 55.29469.1754599854


s10g:從抓圖看起來是沒有加密?只是改 port 而已。
siuying :他們該不會是只用 HTTP 就這樣明文傳訊息吧...
ming :沒錯, 15-30 sec polling + gcm 觸發 get_message; 不只 http request, android log 也沒關, 通通看光光
siuying :功能揚春、市場策略奇怪、實作完成度低、安全性哈哈哈 ... 這樣「缺席」真比「出席」好啦
haocheng :現在還有人用 http !?
https://kaif.io/z/compiling/debates/fmhCDNqdm9

您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

手機版|聯絡站長|重灌狂人|狂人論壇

GMT+8, 2024-11-24 11:08

Powered by Discuz! X3.5

Copyright © 2001-2021, Tencent Cloud.

快速回復 返回頂部 返回列表