今天想來說說討論已久的"英雄聯盟帳號盜用之可能性"
這是Garena競時通
這是手機競時通
今天要談的是手機競時通
有大部分的人認為被盜用的原因是
1)駭客盜取資料之後利用帳號牟利
2)佛心公司佛到不行,資料再賺一筆,爽
事實上,第一項是肯定的
畢竟帳號被盜用的前提就是 【要有人盜用】(廢話)
不過這也可能要歸咎到競時通本身的問題
小弟從事資訊安全相關工作(不是白帽駭客,沒這麼帥氣)
工作之餘(偷懶)
將手機競時通的APK進行了分析
發現裡面有多達20幾個漏洞是不合規範的
例如:
好,我知道沒有人想看這兩張廢圖(沒女乃沒GP)
總而言之
這些漏洞會導致機密資料外洩或是訊息盜換的可能
首先最危險的就是,官方發訊也可能遭到駭客盜換成惡意網址(按D與F可以增加初始金錢500元~嘎哩拿關心您)
帳號的個人資料外洩(例如你儲值的手機號碼與身分證字號)
所以!
如果今天我是有心人士(<3)
我只需要竊取機密資料以後進行帳號資訊的查詢,就能把帳號中已儲值的部分進行使用
這也不是說佛心公司故意這麼做(至少我分析過後我認為不是故意留漏洞的,因為故意的就絕對不止這些)
而是可能在設計的時候工程師使用了原本就有漏洞的原始資料進行編輯
才導致漏洞的沿用
所以如何保障資料的安全呢?
1)設雙重認證:這部分佛心公司有教學哦~可以去看
2)小額付費設定必須通知:這部分可以去通訊行跟你的廠商開啟設定
3)勤改密碼:我個人習慣三到五天改一次密碼
4)儲值金額在三日內使用完畢:我每次儲值都是直接當日把轉的聯盟幣敗光光(因為以前就覺得,裡面沒聯盟幣,你偷了也沒用)
這樣才能確保自己帳號不被利用或是進行贈禮
這是被動且有效的方法
其實你只要使用,就是有風險
這無法避免
只能等政府立法過後強制APP上架前必須完全合規才有辦法有效抑制
希望大家可以一起保障自己的資訊安全:)) ←變胖的我+雙下巴