智慧型手機通訊App眾多 暗藏網路犯罪風險

通訊軟體認證

這些行動通訊軟體的共同特性是，都利用手機的電話號碼來作為認證身分的唯一方式。在安裝軟體的過程中，軟體會要求使用者輸入手機號碼來進行認證，這是一個簡單又方便的方法。然而，這是它的優點，也是缺點，因為這樣的認證方式衍生出了幾個漏洞，像是惡意使用者能輸入其他人的電話號碼來截取認證碼或創造假的帳號去犯案，以獲取不法利益。

也許有人會想到，為何不設計讓通訊軟體能自行讀取使用者裝置中的電話號碼呢？雖然智慧型手機允許通訊軟體存取使用者的電話號碼，但實際上通訊軟體並未運用這個機制，原因便是為了能讓通訊軟體的用戶不只能將通訊軟體安裝在手機，還可以安裝在其他的行動裝置上，例如沒有搭配門號的平板電腦，只需利用其他裝置的電話號碼就能使用通訊軟體的功能。

當然，通訊軟體也採用了一些防範措施，避免有人嘗試使用其他人的號碼做認證，然而它仍存在著一些設計缺點，使得非法者得以利用設計缺失進行非法行為。

非法活動如何進行

行動通訊軟體很方便，但事情有一體兩面，因通訊軟體受到大家的歡迎，也成為了非法活動的目標，以下為通訊軟體會遭受到的攻擊方式：

帳戶截取

在安裝通訊軟體的過程中，通訊軟體並不會主動擷取設備的電話號碼，而是要求使用者手動輸入。驗證輸入電話號碼的方式，大多是藉由傳送一個包含驗證PIN碼的簡訊到指定的電話號碼，使用者再將簡訊中的認證碼輸入到通訊軟體後完成驗證，如圖1所示。

▲圖1 KakaoTalk的身分認證過程。

然而，在伺服器和手機在傳送訊息的過程中，若有辦法攔截到驗證的簡訊，攻擊者就可以截取帳號，並冒用竊取的帳號進行非法活動來獲取利益。

以KakaoTalk為例，為了避免攻擊者利用使用者的電話號碼來扮演其他人，伺服器會有一封包含4位元PIN碼的簡訊傳送到手機上。然後使用者將此PIN碼到輸入至KakaoTalk完成認證過程。透過這樣的過程，KakaoTalk將使用者帳戶（利用電話號碼）與實體設備緊密綁在一起。

但這樣的驗證過程仍有可能被惡意使用者破解，因為驗證簡訊的PIN碼是在手機裡產生的，並透過一個HTTPS的加密通道傳送給伺服器。之後，伺服器會將手機傳來的這封簡訊，再藉由SMS伺服器傳送到手機裡。

最後，KakaoTalk軟體會以使用者所輸入的PIN碼與先前產生的PIN碼進行驗證身分，在進行過程中，攻擊者只要藉由在驗證階段時輸入使用者的手機號碼，與伺服器進行第一步驟的通訊聯絡時竊取PIN碼，就能完成竊取使用者資料。

但因為KakaoTalk的通訊聯絡是受到SSL機制保護的，因此攻擊者就必須在他自己的手機來實行攻擊活動。如圖2所示，攻擊者會建置一個SSL伺服器，並在手機裡安裝伺服器憑證，以便存取應用軟體加密的聯絡通訊。

▲圖2 KakaoTalk身分認證過程中的攻擊手法。

一旦攻擊者輸入了PIN碼通過驗證，使用者的KakaoTalk帳戶便會與攻擊者的手機進行連結，如此攻擊者就能冒用使用者的帳戶來發送及接收訊息。這樣的過程讓使用者的手機與帳戶脫離關係，沒辦法再從KakaoTalk收到訊息。

寄件者ID詐騙/訊息竄改/垃圾郵件

寄件者ID詐騙，是指惡意使用者想要假冒某個ID傳送一個詐騙的訊息，它的主要目的並非是上面所提到的截取某個ID的帳戶，而是傳送詐騙的訊息。

如圖3所示，訊息竄改是指訊息在傳送和接收的過程中，手機和伺服器之間傳遞訊息時被攻擊者攔截，被攔截的訊息經攻擊者竄改後傳送出去，此時接收者誤以為竄改後的訊息是正確的，進而判斷錯誤造成損害。

▲圖3 訊息遭竄改的攻擊流程。

一般垃圾郵件所指的是使用者會收到大量郵件，這些郵件可能是廣告訊息、詐騙訊息或是被執行間諜軟體的訊息，攻擊者用自動化的方式發送垃圾郵件，大量地傳送郵件給使用者，造成使用者會不斷接收到垃圾郵件，不勝其擾。

對於攻擊者所執行的垃圾郵件攻擊，一般會用Time Out（一般在網路連線時都會有最長的連結時間限制，在時間內無法完成指令就會出現Time Out的錯誤訊息）來阻撓大量垃圾郵件。但儘管如此，攻擊者能夠設置固定的時間間隔來傳送訊息，就可讓Time Out無法有效阻止垃圾郵件。因此，如果使用者的身分被冒用，攻擊者很有可能以使用者身分來執行大量訊息發送的攻擊，就像垃圾郵件一樣。

未經認證的簡訊…來電

此攻擊是在通訊軟體安裝的過程中，利用其他人的手機號碼來做認證，藉此讓通訊軟體的伺服器發送驗證的訊息或來電到使用者的手機，達到騷擾使用者的效果。值得一提的是，若是攻擊者不斷地重複這樣的動作，就能發送大量的訊息，藉以達到垃圾郵件攻擊的效果。