2013/11/29 更新： 測試結果出來了，抱歉可能害大家虛驚一場 重新測試的結果是： 瀏覽器關閉一個小時就會自動登出！！ 中槍的應該只剩下樓主： 每次回家都先開一下瑪奇，想說晚上可能還會再打些任務 所以Beanfun網頁就沒關掉留著，留著晚上可以少打一次密碼 果然，偷懶是最大的敵人（檢討中） 在這邊跟大家抱歉，因為在下不夠謹慎可能造成了大家慌張 前情提要： 原PO很久沒開瑪奇，FB上看到活動送黑火馬與100AP藥水才忽然想回鍋 雖然看到活動時已經趕不上黑火馬，而且一想到20歲的初音就... 不過100AP藥水對我還是很有吸引力 同時也上PTT逛逛 沒想到一上來就看到被盜 當下直覺就是：來分析Beanfun安全狀況的並寫文章讓大家知道哪裡要小心吧 還沒開始寫文，先用自己電腦測試一下：這機制夠不夠安全 （結果測試不夠謹慎） 於是意外就這樣發生了...... 不夠謹慎的測試還成了更大的意外 (多希望不會看到意外讓我可以寫原來的分析文) 重點： 目前如果要小心「瑪奇帳號」被盜用，請做好以下幾個安全措施： 更新：問題沒想像嚴重，要不要照做請參考下面原理自行評估 1. 登入瑪奇後，盡快將Beanfun網頁登出，或者至少關電腦前網頁要登出 不要用清除Cookie的方式登出，直接關網頁後你得重新登入也不算登出 請直接點Beanfun網頁右下角的登出可以確保帳號安全 2. 隨時檢查瀏覽器擴充套件，有沒有被安裝奇怪的東西 當然不要被裝擴充套件最好，不過很多軟體都可以不詢問你直接幫你裝 尤其是現在很少防毒軟體會確保瀏覽器是安全的 如果以上兩點不確實，尤其是第一點沒做好的話 就算用PlaySafe或OTP保護，瑪奇帳號還是會被盜用 更新：只影響一小時 漏洞已經電話回報遊戲橘子，似乎也有其他人回報，但什麼時候修正也不確定 修正之前做好以上兩點至少可以少一點被盜的機會 版主都說可以了，那就把原理寫上吧： 　Beanfun以前的登入流程如下圖： 　 啟動遊戲→輸入帳號密碼→登入遊戲 　而新Beanfun的登入流程如下（舊Beanfun的流程也差不多） 　 開啟Beanfun網頁→網頁登入→點選啟動遊戲→產生「Session參數」→ 傳「參數」給BFWebStart→BFWebStart跟橘子伺服器要求產生OTP→ 帶著「包含OTP的參數」啟動遊戲→自動登入遊戲(因為帳號密碼已寫在參數) PS. OTP = On Time Password = 具有時效性的密碼 像是信用卡刷卡要用手機接收一個五分鐘內輸入的認證碼，那也是OTP PS2. 如果你把工作管理員的命令列打開，就可以看到該應用程式啟動時的參數 前幾篇有人提到踢人的方式，也是類似的方式找出OTP 基本上只要程式還在執行，你執行時的參數都可以查(不過依然安全原因如下) Beanfun剛出來的時候我就在踹(Try)說如果把OTP抄下來，能不能用 答案是：可以用，但是只有五分鐘的時效，不構成危脅(隨時可查到可是查到也過期了) 因為以前一直只有踹這塊，所以一直覺得Beanfun還蠻安全的(慚愧) 這次看到被盜才想到：如果給BFWebStart的「Session參數」被抄下來呢 話不多說開始動手踹，不過因為BFWebStart只會執行20秒 　 　(程式結束就查不到參數，而且瑪奇主程式出現開始遊戲時，他就任務完成結束了) 手腳再快也抄不下來，所以寫了個小工具把流程從原本的： 　　網頁→BFWebStart 　改成這樣： 　　網頁→攔截→BFWebStart 　第一次當然很正常的啟動遊戲登入遊戲(只是多個步驟攔截參數嘛) 　 　如果這串參數跟後面的OTP一樣5分鐘就過期，那倒也還好 　 　畢竟你登入5分鐘內被踢出，一定會懷疑有問題馬上重新登入 　 　（BF後直接登入瑪奇雖然會寫「請升級帳號」，不過其實會自動幫你按是踢人） 　 　關閉遊戲休息個五分鐘後，把剛剛攔截下來的參數拿出來，再次啟動BFWebStart 　 　等等，五分鐘後還是可以啟動？！　我以為這參數只能用一次或5分鐘後就會失效啊 　 　很不幸的，睡覺前共放了兩個小時以上 確定是因為沒關網頁才會放兩個小時還有效 　 　這串參數還是可以讓我直接自動登入瑪奇（也就是前面講的意外） 　 　沒錯，如果你啟動遊戲時，給BFWebStart的參數有抄下來 　 　根本不需要Beanfun網頁就可以直接登入遊戲 　 　也是PlaySafe沒用的原因（網頁都不需要開了，哪需要晶片卡） 　 　後來測試一下，要怎麼讓「給BFWebStart的參數」，確定以下行為會讓參數報廢 　　1.登出Beanfun網頁 　　2.不登出關網頁，直到網頁顯示要登入後，重新登入網頁Beanfun 3.單純的關閉網頁，一個小時後參數會失效（先前不會過期確定是筆誤） 　而以下行為不會讓參數失效： 　　1.改密碼（對，進信箱改密後沒重新登入參數依然有效） 　　2.直接把網頁關掉然後去睡覺（確定是筆誤，等一個小時就會失效了） 　　3.之前Beanfun網站宣導的「關掉遊戲」 　 　很不幸的是，這串參數還可以從「瀏覽器」取得 　雖然傳說過程有加密不至於被攔截，不過到你的瀏覽器上也解密了 　（不然你看不到網頁） 　 　如果直接插入一些腳本，讓瀏覽器把這串參數傳到別的地方.... 　外加瀏覽器傳輸資料也很正常，防火牆根本不會發現異常 　 　以上，希望大家都能保護好自己的瑪奇帳號 　 修正後的結論：我要修正我網頁開著不關的壞習慣了... --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.170.153.115 ※ 編輯: j28347846 來自: 118.170.153.115 (11/27 02:27) 原理講出來我怕盜帳號的也來取經，而且不曉得版主覺得可不可以講 如果可以直接講我在發篇文講原理吧 兩個應該都一樣適用 基本上我找到的不良設計可以直接繞過任何Beanfun帳號驗證程序啟動遊戲 PS卡以前用過不過沒仔細研究(剪卡剪壞就沒再用了) ※ 編輯: j28347846 來自: 27.243.6.174 (11/27 12:14) ※ 編輯: j28347846 來自: 163.17.133.16 (11/27 16:00) 連我自己都快被眼前的現象嚇死啊！！ 是的，盡快登出Beanfun才會安全 尤其很不少人（包括我）常常玩玩直接關掉腦睡覺，根本沒去Beanfun網頁做登出 要置底沒問題，其實本來有想說要錄demo不過太麻煩後來作罷 ※ 編輯: j28347846 來自: 163.17.133.16 (11/27 16:09) 路由攻下其實不一定攔截的到耶 因為我沒去測試BFWebStart去跟橘子伺服器要求OTP的過程安不安全XD 不過倒是有聽聞過台灣的ISP安全性不是很夠 不Po到帳號的人還是會知道這些東西 Po出來起碼玩家可以保護自己，版主也說OK就PO啦 請隨意轉，幫我塗掉ID我會感激你 有點類似被遠端操作沒錯，不過因為這串參數真的太好拿 瀏覽器被安裝奇怪擴充套件不難，而且裝擴充套件還可以拿瀏覽器當白手套 讓防毒軟體發現不了，以前木馬攔截帳號密碼，防毒軟體還會發現有人側錄鍵盤 當然恐慌事沒必要的，不過是真的誠心建議沒事登出...... 看看DEMO影片你應該可以了解為什麼：http://goo.gl/K8McEi ※ 編輯: j28347846 來自: 118.170.122.130 (11/27 18:10) ※ 編輯: j28347846 來自: 118.170.122.130 (11/27 18:23) 是，只要按下登出，BFWebStart就會跳出 「無法取得遊戲密碼，請重新嘗試: beanfun! 閒置過久，請嘗試重新登入」 因為很難錄下攔截參數，又不透漏我的beanfun帳號，所以只能示範這個部分 ※ 編輯: j28347846 來自: 118.170.122.130 (11/27 18:26) 不一定每個人都做得到啊 原Po是比較悲劇，自認為做得到結果還是常常被裝(死) 自從發現自己做不到，就養成至少一個月檢查一次擴充套件清單的習慣了 順帶一提失效條件3改成2小時了，比之前安全多了 ※ 編輯: j28347846 來自: 118.170.122.130 (11/27 18:28) 收到！！ 然後我發現我當初做測試時，好像沒有漏了一個因素：網頁是否關閉 然後把未關閉網頁2小時的結果，與關掉網頁5分鐘的結果，混在一起了 在這邊先向大家道歉，等數個小時測試出比較確定肯定的我再更新上面 雖然也有可能是橘子更新伺服器那邊的程式，不過現在狀況如何還得再等數個小時就是 正在拿自己的帳號，測試網頁有沒有關掉，否會影響參數過期的條件 ※ 編輯: j28347846 來自: 118.170.122.130 (11/27 20:13) PS卡還是很有用的，至少可以避免帳號密碼被抄走 假設PS卡安全的話（先前確實有爆出智慧卡漏洞，不曉得PS哪幾批是有遭殃的） 沒關係我發現我也犯了很大的錯誤...... 基本原理還是適用，只是危險性降低非常多。要不要按照步驟小心請大家在重新評估吧 ※ 編輯: j28347846 來自: 118.170.122.130 (11/29 19:43)