數位出版的書籍檔案一直是出版社、書城平台與讀者時常爭論並相互衝撞的議題。一方面,讀者會希望購買電子書後可以真正「擁有」書籍檔案本身,享有實體書除了內容傳遞外的保存、鑑賞與分享等功能;另一方面,出版社跟書城平台通常希望讀者只能以特定形式存取電子書的內容,以避免有心人士盜版書籍,對作者與出版社造成權利的侵犯與經濟上的損失。本次就讓麥克以知名書城平台讀冊今年6月被揭露的ZDID-2025-00324號漏洞為例,跟大家一同討論目前電子書城對書籍檔案的處理方式。
讀冊書城的試讀漏洞
試著想像一下,你在網路上看到大家都在推薦了一本書,也開始感興趣了起來。你到電子書城先試讀了一部份,發現這本書確實有點內容,打算把它看完,但比起直接刷卡買書、訂購實體書或用圖書館借閱,你很隨便的點幾下滑鼠、複製貼上幾行字,然後就咻咻咻的從正版書城免費拿到完整的電子書檔了!這種荒唐的事自然是不可能發生在現實中的,對吧?這種絕對會讓出版社跟作者氣到吐血的漏洞怎麼可能在現代系統中出現呢?很遺憾的,有時候現實遠比想像更加荒謬。在讀冊書城,大家都可以輕鬆辦到。所幸目前讀冊平台已經做了應急處理,有心人士應該暫時無法使用此漏洞盜取書籍了。
重現漏洞下載書籍有多簡單?5歲小孩都會
在理想情況下,電子書城的試讀通常會限制能觀看的書籍內容,讀者只能試讀書籍的一小部份。然而,根據漏洞報告,讀冊書城使用的書紐平台卻默默的把完整書檔傳給讀者,只在前端限制使用範圍。如果沒有妥善的防範措施,這簡直就像是在一本書前幾面貼一張便條紙宣告試讀部份只到此處,防君子而不防小人。不防小人也就算了,偏偏這個漏洞幾乎不需要任何程式語言相關背景就能利用,只要懂得使用電腦搜尋、複製與貼上功能的路人都可以隨手重現,可以利用這個漏洞輕鬆免費下載平台上的所有書籍(註1)。
根據漏洞報告,使用者只要在瀏覽器的試讀畫面開啟開發者工具(通常是快捷鍵F12),就可以在Debugger中找到對應的Javascript檔案。接著在Javascript檔案中找到對應的Blob函數位置並設置中斷點,返回上一頁再重新回到試讀畫面。因為事先設定了中斷點,這次網頁載入只會跑到中斷點的位置便停下。接下來只要到Console輸入漏洞中提供的神秘程式碼(注意程式碼中函式與變數的部分要與先前設定中斷點的Blob數值相同),按下Enter鍵,就可以下載書籍檔案了。整個過程看似複雜,其實只要稍微花一點時間反覆試驗就可以輕鬆上手,難度真的很低。
漏洞顯然不但能修,還可以很快修好
根據漏洞報告,對此漏洞的建議是出版社及平台應建立一個僅包含試閱內容的獨立檔案,物理上限制可試閱的檔案內容,而非阻擋使用者觀看完整版本的電子書,才能從根本上杜絕電子書在無授權的情況下被下載的風險 (據了解Kobo便是使用此方法) 。麥克嘗試以電子郵件聯絡讀冊書城與天下雜誌、聯合發行、遠見天下、尖端及長鴻等在讀冊平台上架書籍的出版社對此漏洞的意見,直至半個月後文章發佈前均未獲得任何回覆。但麥克在2025年7月26號瀏覽讀冊書城時,意外發現書城中有一部分電子書的試讀按鈕都消失了,而有試讀按鈕的書籍點擊試讀後會導向到書紐平台網頁,貌似是目標位址錯誤的表現。整個書城似乎以某個時間點為基準,在此之前的電子書都拿掉試讀功能;而該時間點之後的電子書雖保留試讀按鍵,卻因為網頁無效而跳回書紐平台都頁面。此高風險漏洞早在2025年6月15日就已經被公佈,而漏洞平台Zero Day的漏洞揭露流程中也包含通報讀冊書城,可一直到麥克於2025年7月17日透過客服管道聯絡讀冊前此漏洞都未被修復。但就在麥克聯絡書城詢問為此漏洞的意見後不到10天時間,讀冊書城就採取應急處理取消了試讀功能,代表讀冊書城在麥克詢問此漏洞前明知此漏洞存在,也有能力對漏洞做出緊急應對,卻在此前一個月間毫無作為。麥克認為這是讀冊書城的巨大疏失。
漏洞影響:讀者觀點
一旦大眾得知電子書可以輕鬆透過非正規途徑免費獲得,購買正版電子書的意願肯定會下降。畢竟可以免費獲得,那何必花錢購買呢?除此之外,既然漏洞出現在試讀的部份,出版社及書城能採取的方法之一包含是從此取消試讀功能,事實上在目前讀冊書城也真的將部分書籍的試讀功能下架。如此將會造成讀者權益受損,也會造成上架平台與出版社的信譽降低。畢竟平台跟出版社連拿來賣的電子書檔都保不住了,天曉得他們對消費者的資訊會有多在乎?實際上,讀冊平台還真的曾經發生過資訊洩漏事件,暗示讀冊平台的資安能力需要再加強。
漏洞影響:作者與出版社觀點
對作者與出版社來說,這個漏洞一定更為嚴重。出版社的重要營運收入源之一便是書籍銷售,一旦有免費獲得書籍的途徑,出版社的收入自然會減少,而作者能獲得的版稅也就跟著減少了。不僅如此,出版社作為書籍的發行者,本就有責任保護作品的版權,但這類漏洞無疑是對作者智慧財產權的侵犯,除了會導致出版社與作者的關係受到影響,出版社的形象也會受到損害,還需要花額外成本處理法律上、技術上與公關上的問題。
書檔加密行不行?各大書城都有不同解答
因應不同的概念基礎,不同電子書城對書籍檔案的處理與加密也有所不同。台灣本土書城讀墨就幾乎不開放讀者直接下載書檔,僅能從指定的瀏覽器、軟體或品牌閱讀器存取購買的書籍。與此同時,同樣為台灣本土書城的Pubu就允許下載有DRM加密的書檔,讀者可以在有認證的相關程式與裝置中打開這些加密的書籍檔案,在自己選定的平台上存取書籍。然而,目前常見的加密方法是使用Adobe的ACSM格式,是已經有點年紀的技術,坊間也不乏破解軟體可以解密這些加密格式,效果十分有限。即使Kobo、Amazon等國際面向的書城平台使用ACSM格式加密書籍檔案,也有現成的網路資源可以破解加密檔,一鍵得到解密的書籍檔案。而像讀墨、Bookwalker等書城雖然限制用戶下載書籍檔案,實際上仍有方法繞過平台限制下載解密完的檔案。對讀者而言,能夠擁有書檔代表可以在任何想用的裝置上閱讀這些書籍,當然是好事。但對出版社而言,解密的書檔代表的是更低門檻的盜版途徑,一定是弊大於利。
總結:難以平衡的權益戰爭
無論是從讀冊書城的試讀漏洞還是書檔的加密議題,我們都能看到數位出版領域正在面臨重大的挑戰。這些問題無不暗示著在資訊過度發達的現代,整個社會對於電子書出版品的不安與擔憂。然而,讀者、作者與出版社其實是互相依靠、互立共生,絕對不是敵對關係。因此無論是偏向特定一邊,想必都不是最佳的解決方法。或許雙方迫切需要的是一個能同時保障智慧財產權並尊重讀者擁有權的安全標準。期望未來儘快能有更新、更好的技術與規範語法條,能同時保障讀者、作者及出版社的權益。與此同時,麥克也呼籲大家應該尊重作者與出版社,面對這些數位出版品時堅守應有的道德底線。唯有大家一起攜手共進,我們才能迎向作者、出版社都能共贏的未來。
註1:此漏動僅適用於讀冊書城中以書紐平台開啟的流動版面書籍
留言
張貼留言