V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
taineric
V2EX  ›  信息安全

当运营商劫持软件升级程序时,我们应该怎么办?

  •  
  •   taineric · 2017-07-06 22:06:34 +08:00 via Android · 3776 次点击
    这是一个创建于 2681 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://www.freebuf.com/news/139206.html

    从文中我们可以看到,有部分软件的升级程序 url 被 302 到了木马的安装包。如果属实的话,许多程序自带的升级功能就可以给电脑带来木马。而且升级程序一般我们都会通过 UAC,木马继承了高权限,想做什么就做什么。
    15 条回复    2018-03-31 17:53:51 +08:00
    xfspace
        1
    xfspace  
       2017-07-06 22:17:56 +08:00 via Android
    看数字签名...
    Code signature 好像得公司才颁发,一般搞不到一样的数字证书
    taineric
        2
    taineric  
    OP
       2017-07-06 22:40:49 +08:00 via Android
    @xfspace 升级程序应该是自动执行的吧,而且一般都继承了高权限。感觉连下载目录都找不到,而且还是静默的。
    ysc3839
        3
    ysc3839  
       2017-07-06 22:48:44 +08:00   ❤️ 1
    “而且一般都继承了高权限”
    我觉得不会吧,一般是先把文件下载下来,然后管理员身份运行,在这时候用户就会发现即将运行的程序没有数字签名。不过说到底用户不一定会分辨这些,直接允许了。
    pq
        4
    pq  
       2017-07-06 22:57:15 +08:00
    @xfspace 多数系统都有 CNNIC 的根证书,三大流氓真要作恶,或许可以申请一个假的。。。
    pq
        5
    pq  
       2017-07-06 23:02:39 +08:00
    以前 repo 没强制 https 的时候,dnf 源就发现被劫持到运营商的服务器了,吓得我赶紧重装了,然后强制 https。说实在的,开源 linux 的包虽然有 gpg 签名验证,但相对商业公司来说,我感觉那个 key 更容易泄露。。。
    taineric
        6
    taineric  
    OP
       2017-07-06 23:06:26 +08:00 via Android   ❤️ 1
    @ysc3839 很多程序为了"用户体验"都在系统注册了高权限的服务,甚至加了驱动。而且很多程序一打开就要求管理员。这样子下载的程序就会继承服务或者主程序的权限,直接就是管理员。
    taineric
        7
    taineric  
    OP
       2017-07-06 23:11:59 +08:00 via Android
    @pq 这些和运营商的总部没有关系,一般是当地的分公司为了谋利而搞的,总部虽然视而不见,但不至于给分公司帮忙申请证书。
    曾经 Firefox 的官网安装包就被替换过。不过 Linux 发行版大多有商业公司提供基础设施,比如 Canonical,RedHat ,Novell
    nfroot
        8
    nfroot  
       2017-07-06 23:18:20 +08:00
    你作为用户,是没办法的,全局 VPN 吧。或者监控网络,发现明文 http 请求 exe,apk 等后缀的,就采用 VPN,其他时候就默认本地宽带
    nfroot
        9
    nfroot  
       2017-07-06 23:19:17 +08:00   ❤️ 1
    作为软件开发者要解决这个问题还是很容易的,验证一下数字签名,或者自己搞一个签名算法替代系统自带的
    zingl
        10
    zingl  
       2017-07-07 00:45:09 +08:00
    https 就能基本解决劫持了吧,软件作者应该背大锅
    anyele
        11
    anyele  
       2017-07-07 00:46:58 +08:00 via Android
    uwp
    kiari
        12
    kiari  
       2017-07-07 00:54:58 +08:00
    想问下,MAC App store 里面的软件更新走的是 https 吗? mac 自带的软件经常也需要更新的。。
    ysc3839
        13
    ysc3839  
       2017-07-09 01:45:36 +08:00 via Android
    @kiari 肯定是的
    flower545
        14
    flower545  
       2018-03-31 17:52:52 +08:00 via Android
    @pq 那三大 ?
    flower545
        15
    flower545  
       2018-03-31 17:53:51 +08:00 via Android
    @pq CNNIC 我知道
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5411 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 06:56 · PVG 14:56 · LAX 22:56 · JFK 01:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.