惡意軟件開發(fā)者并不是每一次都需要為他們的惡意軟件來(lái)竊取或者購(gòu)買一個(gè)有效的代碼簽名證書，有時(shí)候制造廠商在無(wú)意中的泄露，就會(huì)給黑客提供了便利。

[[149765]]

被“臨時(shí)工”泄露的私鑰

這次泄露事件來(lái)自臺(tái)灣的網(wǎng)絡(luò)設(shè)備制造商D-Link(友訊)，它在開源固件包里無(wú)意中泄露了公司內(nèi)部使用的私有代碼簽名密鑰。

荷蘭的新聞網(wǎng)Tweakers獲悉到了這個(gè)消息，一位網(wǎng)名為bartvbl的讀者購(gòu)買了D-Link DCS-5020L的安全相機(jī)，然后從D-Link源下載了固件包，這是經(jīng)過(guò)GPL開源的。然而他在審計(jì)固件源代碼時(shí)，這位讀者發(fā)現(xiàn)了四個(gè)不同的做代碼簽名的私鑰。

黑客可以對(duì)惡意軟件進(jìn)行簽名

在測(cè)試后，該讀者成功創(chuàng)建一個(gè)Windows應(yīng)用程序，然后用D-Link的其中一個(gè)代碼簽名密鑰進(jìn)行了簽名，現(xiàn)在似乎還有效。

然而另外三個(gè)代碼簽名似乎并沒(méi)有什么卵用。

目前并不清楚這些私鑰是否已經(jīng)被惡意的第三方供應(yīng)商所使用，這些私鑰也可能被黑客用來(lái)對(duì)他們的惡意軟件進(jìn)行簽名。由于許多安全檢測(cè)技術(shù)都會(huì)對(duì)該簽名放行，就連VirusTotal之類通過(guò)惡意樣本檢測(cè)的技術(shù)，也得先發(fā)現(xiàn)可疑文件才行。綜合各種原因，這個(gè)簽名證書的泄露的危害會(huì)不小。

專家分析和廠商回應(yīng)

荷蘭安全公司Fox-IT的Yonathan Klijnsma表示：

“該代碼簽名證書確實(shí)是一個(gè)固件包，版本號(hào)為1.00b03，其源碼曾于今年2月27日發(fā)布。我認(rèn)為這個(gè)事件是打包代碼時(shí)出現(xiàn)的失誤，這個(gè)代碼簽名證書只出現(xiàn)在特定的版本里。”

與此同時(shí)，D-Link對(duì)此事件做出了回應(yīng)。他們撤銷了該證書，并且發(fā)布了新版本的固件，里面沒(méi)有包含任何代碼簽名認(rèn)證。