这是一个创建于 2681 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://www.freebuf.com/news/139206.html
从文中我们可以看到,有部分软件的升级程序 url 被 302 到了木马的安装包。如果属实的话,许多程序自带的升级功能就可以给电脑带来木马。而且升级程序一般我们都会通过 UAC,木马继承了高权限,想做什么就做什么。
从文中我们可以看到,有部分软件的升级程序 url 被 302 到了木马的安装包。如果属实的话,许多程序自带的升级功能就可以给电脑带来木马。而且升级程序一般我们都会通过 UAC,木马继承了高权限,想做什么就做什么。
 |
1
xfspace 2017-07-06 22:17:56 +08:00 via Android
看数字签名...
Code signature 好像得公司才颁发,一般搞不到一样的数字证书 |
 |
2
taineric OP @xfspace 升级程序应该是自动执行的吧,而且一般都继承了高权限。感觉连下载目录都找不到,而且还是静默的。
|
 |
3
ysc3839 2017-07-06 22:48:44 +08:00  1
“而且一般都继承了高权限”
我觉得不会吧,一般是先把文件下载下来,然后管理员身份运行,在这时候用户就会发现即将运行的程序没有数字签名。不过说到底用户不一定会分辨这些,直接允许了。 |
 |
5
pq 2017-07-06 23:02:39 +08:00
以前 repo 没强制 https 的时候,dnf 源就发现被劫持到运营商的服务器了,吓得我赶紧重装了,然后强制 https。说实在的,开源 linux 的包虽然有 gpg 签名验证,但相对商业公司来说,我感觉那个 key 更容易泄露。。。
|
|
6
taineric OP 1
@ysc3839 很多程序为了"用户体验"都在系统注册了高权限的服务,甚至加了驱动。而且很多程序一打开就要求管理员。这样子下载的程序就会继承服务或者主程序的权限,直接就是管理员。
|
|
7
taineric OP @pq 这些和运营商的总部没有关系,一般是当地的分公司为了谋利而搞的,总部虽然视而不见,但不至于给分公司帮忙申请证书。
曾经 Firefox 的官网安装包就被替换过。不过 Linux 发行版大多有商业公司提供基础设施,比如 Canonical,RedHat ,Novell |
 |
8
nfroot 2017-07-06 23:18:20 +08:00
你作为用户,是没办法的,全局 VPN 吧。或者监控网络,发现明文 http 请求 exe,apk 等后缀的,就采用 VPN,其他时候就默认本地宽带
|
|
9
nfroot 2017-07-06 23:19:17 +08:00 1
作为软件开发者要解决这个问题还是很容易的,验证一下数字签名,或者自己搞一个签名算法替代系统自带的
|
 |
10
zingl 2017-07-07 00:45:09 +08:00
https 就能基本解决劫持了吧,软件作者应该背大锅
|
 |
11
anyele 2017-07-07 00:46:58 +08:00 via Android
uwp
|
 |
12
kiari 2017-07-07 00:54:58 +08:00
想问下,MAC App store 里面的软件更新走的是 https 吗? mac 自带的软件经常也需要更新的。。
|
Select Language