我們總以為,駭客攻擊必須伴隨著暗網以及各種高深的技術。但在現實世界裡,摧毀一個擁有千萬用戶的通訊軟體防線,有時候只需要你拿起話筒,輸入阿公阿嬤最愛的四個數字:「0000」。
最近發生的通訊軟體帳號大規模盜用事件,就是一場標準的資安界黑色喜劇。沒有什麼高深的零日漏洞(Zero-day exploit),駭客只是巧妙地利用了兩個系統之間的「美好誤會」,就輕易拿走了你的帳號控制權。
這究竟是怎麼發生的?讓我們從系統設計的視角,來解構這個荒謬的攻擊鏈。
一、事件:你的帳號,是怎麼不見的?
某天,你打開 LINE,發現自己被登出了。帳號,已經易主。
這不是電影情節,是近期在台灣真實發生的 LINE 帳號盜用事件。攻擊者的手法說穿了其實很簡單,簡單到有點荒謬:他們只是撥了一通電話,然後聽了你的語音信箱。
整個過程,可能不超過兩分鐘。
事情的核心,牽涉到兩個系統的交叉地帶:(電信端) 與 LINE(通訊軟體端)。兩個系統各自有自己的邏輯、各自的設計考量,乍看之下都沒有明顯的大漏洞——問題出在它們被「串在一起」的那個瞬間。
二、分析:系統設計的善意,如何變成攻擊的入口
表面現象:一個可被任意存取的語音信箱
先從電信端說起。
電信端的語音信箱,預設密碼是 0000 或 1234。
在資安的世界裡,這是教科書等級的警示案例。但電信商這樣設計,其實有其考量:使用者年齡層廣、教育背景多元,如果預設密碼太複雜,客服電話會被打爆。簡單密碼,是一種為了「可用性」所做的妥協。
問題是,語音信箱的存取機制幾乎沒有設防:任何人,只要知道門號,就可以嘗試撥入語音信箱系統,並且用預設密碼取得內容。不需要知道你的名字、不需要你的身份證字號,一支門號加上「0000」,門就開了。
這個設計存在已久,過去問題不大,因為語音信箱裡通常只有廣告留言,沒什麼好偷的。
直到語音驗證碼出現,情況完全不同了。
深層原因:A 系統把安全責任外包給了 B 系統
再來看通訊軟體端。
LINE 在帳號重新登入時,有一套驗證機制。其中一種方式是:系統撥打電話到你的手機門號,留下一組語音驗證碼,你輸入後就能取回帳號控制權。
這個設計的邏輯是:「能接到這通電話的人,就是門號的主人,就是帳號的主人。」
在大多數情況下,這個邏輯沒有問題。但它有一個隱含的假設:你的門號是安全的,只有你能接收語音內容。
而這個假設,在語音信箱的設計面前,悄悄破功了。
攻擊者的操作流程如下:
- 讓目標手機忙線或無法接聽(例如:瘋狂撥打使其佔線或是半夜無法接電話)
- 觸發 LINE 重新登入的「語音驗證碼」流程
- 驗證碼被留進語音信箱
- 撥入電信語音信箱,輸入預設密碼
0000或1234 - 聽取驗證碼,輸入,取得帳號
整個攻擊鏈裡,沒有任何一步需要特殊技術,沒有複雜的程式碼,沒有高端駭客工具。用的,全是兩個正常系統的「正常功能」。
我的詮釋:這是一個「安全性假設的錯位」問題
這個事件最值得深思的地方,不是哪個系統不夠安全,而是:兩個系統在設計時,都沒有把對方納入威脅模型。
LINE 設計語音驗證碼時,假設的是「電話只有本人能接」。 電信商設計語音信箱時,假設的是「語音信箱裡不會有敏感資料」。
這兩個假設,在各自的時空背景下都合理。但當它們被串接在一起,就出現了一個誰都沒有負責的灰色地帶。
資安領域有個術語叫做「攻擊面」(Attack Surface),意思是系統可能被攻擊的所有入口總和。這個事件告訴我們:攻擊面不只存在於單一系統內部,更存在於系統與系統之間的接縫處。 而那個接縫,往往是設計者最沒有意識到的地方。
簡單說:A 系統以為 B 系統是安全的;B 系統不知道自己被 A 系統借用了。就這樣,縫隙出現了。
三、結論:方便與安全,從來不是非此即彼
這個事件之後,相關系統陸續有所調整。但我重點不是「誰的錯」,而是一個更根本的問題:
我們在設計任何系統的時候,有沒有問過:「這個系統,會被誰、以什麼方式連接到其他系統?」
電信商提供了語音信箱,本意是服務使用者,降低使用門檻。這是好意。LINE 提供了語音驗證的備援選項,本意是讓帳號更容易找回來。這也是好意。
兩個好意,撞在一起,成了漏洞。
這不是在替任何一方開脫,而是想指出:資安從來不是單點問題,而是一個系統生態的整體健康度。當我們把便利性堆疊在便利性上面,有時候疊出來的不是更好的體驗,而是一個等著被發現的破口。
對普通使用者來說,這件事有一個最直接的行動建議:現在就去把你電信語音信箱的密碼改掉,不要留 0000。 十秒鐘的事,可以省掉很多麻煩。
對設計者來說,這件事值得記住的是:安全性的設計,不能假設環境是友善的,也不能把安全責任隱性外包給另一個你無法控制的系統。
系統會串連,漏洞也會串連。 下一次的入口,可能就藏在你沒有想到的那個接縫。
