惡意軟件開發(fā)者并不是每一次都需要為他們的惡意軟件來竊取或者購買一個有效的代碼簽名證書,有時候制造廠商在無意中的泄露,就會給黑客提供了便利。
被“臨時工”泄露的私鑰
這次泄露事件來自臺灣的網(wǎng)絡(luò)設(shè)備制造商D-Link(友訊),它在開源固件包里無意中泄露了公司內(nèi)部使用的私有代碼簽名密鑰。
荷蘭的新聞網(wǎng)Tweakers獲悉到了這個消息,一位網(wǎng)名為bartvbl的讀者購買了D-Link DCS-5020L的安全相機,然后從D-Link源下載了固件包,這是經(jīng)過GPL開源的。然而他在審計固件源代碼時,這位讀者發(fā)現(xiàn)了四個不同的做代碼簽名的私鑰。
黑客可以對惡意軟件進行簽名
在測試后,該讀者成功創(chuàng)建一個Windows應(yīng)用程序,然后用D-Link的其中一個代碼簽名密鑰進行了簽名,現(xiàn)在似乎還有效。
然而另外三個代碼簽名似乎并沒有什么卵用。
目前并不清楚這些私鑰是否已經(jīng)被惡意的第三方供應(yīng)商所使用,這些私鑰也可能被黑客用來對他們的惡意軟件進行簽名。由于許多安全檢測技術(shù)都會對該簽名放行,就連VirusTotal之類通過惡意樣本檢測的技術(shù),也得先發(fā)現(xiàn)可疑文件才行。綜合各種原因,這個簽名證書的泄露的危害會不小。
專家分析和廠商回應(yīng)
荷蘭安全公司Fox-IT的Yonathan Klijnsma表示:
“該代碼簽名證書確實是一個固件包,版本號為1.00b03,其源碼曾于今年2月27日發(fā)布。我認為這個事件是打包代碼時出現(xiàn)的失誤,這個代碼簽名證書只出現(xiàn)在特定的版本里。”
與此同時,D-Link對此事件做出了回應(yīng)。他們撤銷了該證書,并且發(fā)布了新版本的固件,里面沒有包含任何代碼簽名認證。