準行政團隊Line國事作法急轉彎，準經長受命客製臺版即時通

2016/04/29

Line到底安不安全？！其實，Line主要的對象是一般使用者，之前已經有推出一對一的加密功能，但是，還沒有辦法提供Line群組加密功能。而Juiker揪科是以企業級通訊軟體角度出發，整合AD提供聊天室權限控管。

距離520新舊政府交接剩下不到一個月的時間，準行政團隊為了加速內部溝通速度和品質，準行政院發言人童振源對媒體表示，已經將行政團隊等32人設立一個Line溝通群組。不過，政府高層利用Line做政務溝通引發各界對於資安的質疑，準行政院院長林全最後決定，將改由工研院開發的即時通訊軟體揪科（Juiker），並由曾任工研院副院長的準經濟部長李世光擔任窗口，協調內閣需要客製化即時通訊功能。

Line預設一對一對話功能加密，但群組對話還不行

Line在臺灣有極高的滲透率，也因此，不少準內閣成員常用Line作為彼此溝通工具。但是，政府高層若使用Line來討論國家大事，討論過程是否夠安全，是否沒有機密外洩疑慮，更顯得重要。

由於Line是韓國公司NAVER百分之百的子公司，也就是日皮韓骨的即時通訊工具，目前在日本、臺灣等地都有極高的滲透率。在2013年7月，曾經發生過日本的Line伺服器遭到不明人士非法在伺服器中植入帳密竊取程式，有個資外洩風險，NAVER入口網站各項服務會員個資，總計約169萬筆可能外流，但不含日本國內外Line用戶帳密與個資。當時，經過調查，流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱，日本Line公司也針對有個資外洩風險的客戶，寄發修改密碼的信件，要求儘速修改密碼，以免帳號遭到第三者的濫用。

而在2014年6月，便有日本媒體FACTA online報導指出，韓國政府的國家情報局（前KCIA）會在訊息發送的過程中，攔截相關的訊息，不過，這樣的作法在韓國是合法的，但是日本則覺得不可以坐視這樣的問題繼續發生。根據FACTA online追查，韓國國家情報院（前KCIA）也曾利用此手法再將資料轉送至歐洲進行分析，日本Line帳號資訊也有可能因此洩漏給中國騰訊。

不過，Line社長森川亮則在部落格駁斥這樣的質疑，也透過技術人員在部落格回應，Line相關的通訊傳輸都採用RSA 2048位元的加密方式，且包括在無線網路（Wi-Fi）、3G或LTE等通訊環境中，資料也都加密處理。

而Line之前，也曾經推出包括隱藏交談、限時通訊、密碼鎖和4位數的安全PIN碼等功能，但這些功能必須要另外啟動不同的交談功能介面，因此使用上，也較不普遍。直到2015年10月的Line新版本中，預設開啟在一對一對話時提供進階加密功能，可以加密對話，再把加密金鑰存放在使用者的裝置上。不過，Android手機預設開啟，在iOS手機上，對話雙方則必須自行啟動Letter Sealing功能，才能做到雙方對話內容加密、傳輸加密。

據了解，在2015年底升級的Line版本中，已經預設開啟Letter Sealing功能，所有的一對一對話功能，都已經可以做到自動加密，不過，群組對話時，目前無法做到端對端的加密功能，還處於測試階段，需要一段時間才會推出。

公務部門用Line溝通面臨的五大資安議題

雖然Line的App已有部分安全功能，但是對於公務部門使用而言，第一重要的就是通訊時的安全性，除了早期以加密通訊安全為號召的Telegram，強調連業者都無法攔截已經加密的對話資訊並造成轟動後，後來包括蘋果iMessage、WhatsApp甚至是近期的Viber等，都陸續提供端對端的加密功能。至於Line的端對端加密功能只能做到一對一對話的加密，還無法加密群組對話。

其次，也必須考量即時通訊軟體伺服器的位置。ForceShield技術長林育民表示，因為Line伺服器都在海外，這也意味著臺灣政府沒有能力控管Line的伺服器，如果必須處理使用者帳號被盜用，或者是其他終端設備出現異常狀況時，臺灣政府都沒有能力可以即時反應。

再者，使用者的資料和對話訊息都存放在業者在海外伺服器中，林育民也說，Line無法提供相關的日誌（Log）檔案，一旦發生安全事件或者是資料外洩時，政府的安全部門很難進行後續的調查與追蹤。

第四點，達友科技副總經理林皇興則指出，使用Line這類的通訊軟體還有一個致命隱憂，那就是手機的安全性，像是開放平臺的Android手機或是越獄（Jail Break）後的蘋果手機等，遇到手機簡訊或者是各種即時訊息點擊惡意網址時，更容易被植入惡意程式。資安專家Lightwind Wong也說，手機遺失是最大的資安風險，現階段各家廠商的即時通訊App，都還沒法做到手機一旦遺失，還能夠確保相關對話內容不被外洩。

最後，在資安領域耕耘超過20年的資安專家GasGas表示，缺乏資安意識和對於使用何種3C工具缺乏完善的評估流程，其實才是這次外界對於準行政團隊，使用Line作為溝通工具的最大批評。他指出，沒有一個軟體產品是百分之百安全的，但是，使用者是否具有這樣的意識，是否有一套完整的評估流程，作為選定各種使用工具的參考依據，而不是只是憑習慣或想當然爾做選擇，才是一個行政團隊該具有資安意識的評估流程。

林育民認為，如果臺灣政府要使用這類的即時通訊軟體，除了要確認有提供端對端加密功能外，業者也必須要能提供日誌留存的機制，增加臺灣政府使用這類即時通訊軟體的安全性。

新團隊改弦易轍，決定改用臺灣研發的揪科

在準行政團隊對外宣布採用Line作為溝通工具之際，各界對於資安的疑慮也傳到該團隊的耳中，像是準科技政委吳政忠便率先開砲，傳達外界對於行政團隊採用Line的憂心，而準經濟部長李世光則建議，可以採用由工研院研發的揪科（Juiker）通訊軟體作為Line的替代方案。

工研院研發揪科的團隊，先前也已經透過技轉方式，成為獨立公司源思科技，該公司總經理黃肇嘉表示，準行政團隊已經要求該公司進行相關的報告，但目前的確還不清楚，行政團隊對於即時通訊使用是否有特殊需求，必須等到見面報告後才知道。

黃肇嘉表示，從2012年中旬就開始討論是否要自己研發這類即時通訊軟體，面對國外WhatsApp或是Viber等即時通訊軟體的威脅，也觀察到這種App軟體將深刻影響到臺灣的軟體產業。當時決定開始研發這類的即時通訊軟體時，他說：「為了要和其他競爭對手不一樣，決定整合電信業者，衍生出語音OTT（Over The Top）的服務。」

而揪科切入的角度也與一般強調使用者使用經驗的B2C有落差，他表示，目前B2B企業即時通訊的作法個有不同，像是，思科是從網路的角度來看，微軟從系統的角度出發，Line從手機、Skype從電腦的角度出發，而揪科則從資訊流的角度出發，並研發出聯邦雲的作法，讓電腦訊號傳輸無國界，不過資料卻與訊號分離，可以落地、保留在各國。

工研院從2013年1月著手研發，同年11月就完成開發，為了安全，黃肇嘉表示，揪科採用HTTPS/TLS1.0~1.2的加密演算法，而工研院本身也是揪科第一波的測試者。工研院有八千名員工就有八千臺分機，相關的異動頻繁，紙本列印往往緩不濟急，因此，揪科便開發出企業通訊錄的功能，所有的通訊方式都建置在雲端平臺上，有異動直接在雲端平臺做修正即可，也有利於使用者查詢相關的聯絡人資訊，也可以直接傳訊或打電話。

再者，黃肇嘉也指出，有了雲端的企業通訊錄後，為了確保隱私，在終端顯示時，會隱藏手機號碼的部分數字，使用者可以直接撥打，卻無法看到完整的使用者資訊，不僅確定授權者是有權可以撥打的對象，也保護相關資訊的安全，減少外洩的機會。

第三點，黃肇嘉認為，揪科最大特色就是企業級的聊天室權限控管機制，不僅可以確定誰有權限可以進入到某個聊天室，還可以知道哪些人已經讀取哪些資訊，但哪些人還沒讀取，甚至於，也提供檔案的交換時，是否已經讀取列印等相關記錄。

他指出，因為一般的聊天室是對外公開的形式，但是企業的聊天，也會涉及許多機敏資料的交換和討論，所以，不僅嚴格控管每個人的權限，記錄所有的聊天記錄，甚至於，當員工已經離職後，可以直接從雲端平臺移除該名同仁的權限，系統也會主動把該名同仁從相關的聊天室移除，進一步確保聊天平臺的安全性。

第四點，為了降低Line常見的手機上不明惡意網址訊息帶來的風險，黃肇嘉表示，揪科和趨勢科技合作，只要聊天室中出現各種網址連結，就可以先透過雲端防毒平臺進行網址的掃描，進一步確保使用者的安全。

最後，他指出，揪科也會提供許多API讓企業介接內部系統，也會提供一個雲端的控制平臺，可與企業內部AD或者LDAP整合。

產業訊息

準行政團隊Line國事作法急轉彎，準經長受命客製臺版即時通

其他訊息

如何有效監控雲端成本？用「用量」而非「費用」來分析異常

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

果核 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

果核 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

果核邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

果核串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

果核 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

主動追蹤 AWS 「資源用量」，避免配額用盡造成任務失敗

我的網站慢嗎？如何檢測讓網站加速？新手必知 5 項網站優化指南！

阿里雲訪問控制與權限設置教學

該怎麼選擇 GCP Disk ?

AWS-WorkSpaces雲端桌面服務 (下集)

SOC 是什麼？SOC 資訊安全監控 v.s NOC 網路操作中心的差異？

2021 OWASP Top 10 A08軟體及資料完整性失效

OWASP前10大A07認證及驗證機制失效，瞭解如何修補及預防！

2022 果核 Hacker Talk 漂亮收尾， 解構開發模式、弱點檢測之安全盲點

CDN 內容傳遞網路是什麼？其運作的原理及用途為何？

SOC 資訊安全監控中心是什麼？4 項功能服務與優勢一次知！

如何提高網站的速度，為中國用戶提供可靠的體驗?

如果AWS訪問密鑰暴露怎麼辦？記住這4步驟一定要先做起來！

快速上手打造專屬直播平台

2021 OWASP Top 10 A06易受攻擊和已淘汰的組件

果核Hacker Talk傳授企業資安設計要訣，並探索IoT資安風險化解之道

果核 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

果核 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 果核 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！

嚇！手遊資安危機　數小時恐喪失上億營收

從Google Play下載App保證安全!？資安業者：超過100款惡意程式會偷資料、點擊詐騙

網銀App漏洞金管會關注