系统自动更新的时候,有没有可能导致流量被劫持,从而让攻击者能够替换掉更新下载的文件给电脑植入木马?
Win 和 Linux 会对系统更新文件进行数字签名么?
1
wevsty 2016-08-15 01:42:04 +08:00
Windows 对每个补丁包都是有数字签名的,我不是很了解 Windows Update 是不是强制 TLS 的,不过 WinHTTPAPI 是支持 TLS 的,所以不必太担心劫持问题。
Linux 的话 apt-get 有使用 GPG 对包签名进行验证,也不用担心 |
2
abelyao 2016-08-15 01:44:24 +08:00
正好在使用的 Windows 8.1 有安全更新,开个 Charles 抓了一下,下载的时候是没有 https 的,但应该会校验签名吧:
|
3
processzzp 2016-08-15 01:48:42 +08:00
主流操作系统在更新的时候要么走 TLS 下载,要么会校验更新包的数字签名,在防止中间人攻击这块都有做考虑,不用太担心。
其他的系统就不好说了,我知道的就有一些路由器和嵌入式设备在更新时不会进行任何校验,进行中间人攻击很容易 |
4
kevinreadonly 2016-08-15 04:05:37 +08:00
有可能。
会。 |
5
viator42 2016-08-15 07:05:18 +08:00 via Android
金山电脑管家曾经把猎豹浏览器伪装成系统更新推送
|
6
loading 2016-08-15 07:12:33 +08:00 via Android
可以参考一下 linux 源,是有签名的,虽然好多人不加…
|
7
gamexg 2016-08-15 08:25:37 +08:00 1
火焰病毒 就干过利用 windows 自动更新在局域网传播。
记得好像是 windows 优先使用 netbios 解析域名,火焰就通过 netbios 将被攻击者的 windows 自动更新引导到自身,然后通过 md5 碰撞伪造的微软证书签名解决 windows 自动更新的证书验证做到了通过 windows 投毒。 |
8
Halry 2016-08-15 09:06:45 +08:00 via Android
几乎全部都没用 https ,应该感觉服务器忙不过来
不过现在都有签名了,只要签名没问题就 ok |
9
zsj950618 2016-08-15 10:24:27 +08:00
只用 Linux ,所以就说下 Linux 。正常的发行版都有 GPG 签名,默认的公钥是从最开始的系统安装盘来的,所以只要第一步安装系统的时候,校验下载下来的 ISO 就可以了。
(正常的操作系统,都只要第一步的 ISO 自己校验了成功了,以后应该都没问题了。 |