|
一開始我只是覺得 PCHome IM 很醜很難用,而且裝好老半天都沒半個人(我的朋友幾乎都沒人用)...
覺得應該又是一個開完記者會就沒流量的 PCHome 傳統秀,
不過... 最近有人把它給簡單的看了一下....
Zhi-Wei Cai :
PCHome IM 是一個設計非常不安全的程式,我極度不建議使用該軟體來做任何金錢交易。
軟體本身設計非常的不安全:SSL 憑證的密碼都是明文儲存不說,反正定多被用來發假的請求,而且多數請求都沒有 SSL。
但是簡訊認證系統的發送帳號密碼也是明文?雖然程式有檢查發送電話是否為在台灣,但是發送系統本身並沒有。為了證明這麼假設,我把簡訊發到德國去(見附圖),一樣可以成功收到,甚至可以假裝成 PCHome 的官方認證簡訊進行詐騙。
以 PCHome 只有買五萬封簡訊的額度而言,要是被惡意單位濫用那馬上就可以癱瘓整個驗證系統。(而且這個發送過程也是沒有 SSL!基本上可以輕易的攔截驗證碼。)
另外 logcat 上傳到伺服器一樣沒有加密,沒有 SSL,系統資訊可能被有心人士攔截。
不到十分鐘,我決定刪除這個軟體。我真心希望台灣的廠商能多關心一點點資安,只要多一點點就好。
補充:我本來無意去發現這個問題,唯我在分析手機流量時意外看到發送過程是未加密的,才開始意識到這個問題。如果相關單位覺得不妥,請告知移除文章。
https://www.facebook.com/x43x61x69/posts/665391940264350
s10g:從抓圖看起來是沒有加密?只是改 port 而已。 siuying :他們該不會是只用 HTTP 就這樣明文傳訊息吧... ming :沒錯, 15-30 sec polling + gcm 觸發 get_message; 不只 http request, android log 也沒關, 通通看光光 siuying :功能揚春、市場策略奇怪、實作完成度低、安全性哈哈哈 ... 這樣「缺席」真比「出席」好啦 haocheng :現在還有人用 http !? https://kaif.io/z/compiling/debates/fmhCDNqdm9
|
|