發現e動郵局憑證能破解的漏洞

以下是找到關於郵局憑證破解的過程與心得:

很多人應該都知道郵局的網路銀行(E動郵局)要開通必須去郵局申請憑證綁定手機,才能使用轉帳等功能。如果換手機的話就必須麻煩的重跑一趟重新申請,而且憑證只能綁定一支手機而已。

上週實驗室因為開發緣故買了一隻IPhone x,我把它登入我的icloud帳號後,不小心按到從我自己的Iphone 6回復,所以IPhone 6的資料也拷貝了一份到這隻X上了。

昨天心血來潮想說既然兩支手機資料都一樣,該不會郵局憑證也一起複製過來X了吧?不過那時候想說,郵局網站都說不能備份或複製了,憑證應該會跟手機上的deviceToken註冊綁在一起之類(我也不太清楚方法)無法轉移吧?帶著相信一定不行的想法打開APP來試試看,結果一打開登入畫面下方文字這樣寫:

嗯? 它說我在IPhone x上已經安裝好憑證了?可是我完全沒有跑去郵局重新申請耶xDD
結果半信半疑下它還讓我成功登入進去並且沒有跳任何憑證相關警告。
不相信完全沒問題的我決定來試一下轉帳功能,結果真的能成功轉賬給朋友…

所以我在不用去郵局重新申請憑證的狀態下,成功的把憑證複製到另一支手機了!!!

發現能透過icloud將憑證轉移至IPhone x之後,我想說郵局承辦人員當時跟我說e動郵局只能在一支手機上使用,我既然將憑證複製到X之後,那我原來的i6手機應該就不能用了吧?秉持著實驗精神,我打開i6中的e動郵局…

哇!憑證依然完好,而且還能成功登入。
那還能不能繼續用i6轉帳呢?

結果是可以的!

就這樣,我發現能夠透過icloud在不用重跑郵局重新申請的情況下,將憑證無痛轉移至另一支手機上,而且原來的手機還能繼續使用。所以只要我在很多台IPhone上都登入我的icloud帳號並且備份回復的話,我就有很多隻手機都能使用e動郵局了。

我上郵局的網站上查關於他們對憑證的一些相關規定:

[憑證無法複製]

看完之後,恩~可是透過icloud備份可以做到複製耶?這應該算是漏洞或破解吧? 我上網查了一下,發現有人在2014年就知道這個方法了。不知道是沒有人去回報給郵局還是怎樣,這3年來都沒有被修正,於是我在當下將狀況回報給郵局:

雖然是系統回的罐頭信,但相信他們應該在處理了吧

心得:
我知道我標題打的蠻聳動的哈哈,其實問題沒想像中的那麼嚴重,畢竟帳號密碼並沒有發生任何被盜取的問題存在。雖然我自己也覺得換手機還要跑一趟郵局換憑證很沒必要且超級麻煩,如果它一直存在對我其實也是好的。但想說郵局既然它一開始的機制就是希望這樣子,今天發現了破解方法,還是通報一下比較好~

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s