当运营商劫持软件升级程序时,我们应该怎么办?

2017-07-06 22:06:34 +08:00
 taineric
http://www.freebuf.com/news/139206.html

从文中我们可以看到,有部分软件的升级程序 url 被 302 到了木马的安装包。如果属实的话,许多程序自带的升级功能就可以给电脑带来木马。而且升级程序一般我们都会通过 UAC,木马继承了高权限,想做什么就做什么。
3824 次点击
所在节点    信息安全
15 条回复
xfspace
2017-07-06 22:17:56 +08:00
看数字签名...
Code signature 好像得公司才颁发,一般搞不到一样的数字证书
taineric
2017-07-06 22:40:49 +08:00
@xfspace 升级程序应该是自动执行的吧,而且一般都继承了高权限。感觉连下载目录都找不到,而且还是静默的。
ysc3839
2017-07-06 22:48:44 +08:00
“而且一般都继承了高权限”
我觉得不会吧,一般是先把文件下载下来,然后管理员身份运行,在这时候用户就会发现即将运行的程序没有数字签名。不过说到底用户不一定会分辨这些,直接允许了。
pq
2017-07-06 22:57:15 +08:00
@xfspace 多数系统都有 CNNIC 的根证书,三大流氓真要作恶,或许可以申请一个假的。。。
pq
2017-07-06 23:02:39 +08:00
以前 repo 没强制 https 的时候,dnf 源就发现被劫持到运营商的服务器了,吓得我赶紧重装了,然后强制 https。说实在的,开源 linux 的包虽然有 gpg 签名验证,但相对商业公司来说,我感觉那个 key 更容易泄露。。。
taineric
2017-07-06 23:06:26 +08:00
@ysc3839 很多程序为了"用户体验"都在系统注册了高权限的服务,甚至加了驱动。而且很多程序一打开就要求管理员。这样子下载的程序就会继承服务或者主程序的权限,直接就是管理员。
taineric
2017-07-06 23:11:59 +08:00
@pq 这些和运营商的总部没有关系,一般是当地的分公司为了谋利而搞的,总部虽然视而不见,但不至于给分公司帮忙申请证书。
曾经 Firefox 的官网安装包就被替换过。不过 Linux 发行版大多有商业公司提供基础设施,比如 Canonical,RedHat ,Novell
nfroot
2017-07-06 23:18:20 +08:00
你作为用户,是没办法的,全局 VPN 吧。或者监控网络,发现明文 http 请求 exe,apk 等后缀的,就采用 VPN,其他时候就默认本地宽带
nfroot
2017-07-06 23:19:17 +08:00
作为软件开发者要解决这个问题还是很容易的,验证一下数字签名,或者自己搞一个签名算法替代系统自带的
zingl
2017-07-07 00:45:09 +08:00
https 就能基本解决劫持了吧,软件作者应该背大锅
anyele
2017-07-07 00:46:58 +08:00
uwp
kiari
2017-07-07 00:54:58 +08:00
想问下,MAC App store 里面的软件更新走的是 https 吗? mac 自带的软件经常也需要更新的。。
ysc3839
2017-07-09 01:45:36 +08:00
@kiari 肯定是的
flower545
2018-03-31 17:52:52 +08:00
@pq 那三大 ?
flower545
2018-03-31 17:53:51 +08:00
@pq CNNIC 我知道

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/373588

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX