噴泉數位簽名很重要最終該程式從互聯網的某個角落下載到用戶的電腦上並以最大權限運行。因此您必須確保下載的是正確的程式。下載文件的假版本將不起作用如帕特里克的演示幻燈片所示替換文件會導致錯誤訊息。簡而言之假更新沒有數位簽名而且幾乎不可能偽造。不幸的是中的數位簽章驗證過程有缺陷。
它在運行系統實用程式時起
作用。這顯示了下載的更新的數位簽章參數包括指示哪家公司已收到憑證的行開發者認證機構實用程式輸出已處理如果存在該行則安裝開始。 問題是檔案名稱也出現在輸出 因此理論上攻擊者可以建立名為「」而不是標準「」的惡意 伊朗 WhatsApp 號碼數據 更新。這足以欺騙驗證過程所需的行就在那裡因此文件必須是合法的-即使它是錯誤的文件並且魔術詞位於錯誤的位置!攻擊可能如下所示您啟動更新驗證過程並不難然後下載合法更新用惡意軟體取代它並重命名它以繞過損壞憑證的驗證過程。
惡意檔案以系統權限執行
然後…電腦被駭客入侵!但年月日發布了更新結束了這種攻擊途徑。這是一個簡單的更改下載時強制更改檔案名稱。能夠修改攻擊如果從版本開始是安全的那麼如果我們將客戶端「升級」到舊版本會發生什麼?它起作用了舊的更新具有合法的數位憑證並且在安裝過程中未檢查版本。
問題是什麼的研究表明
安裝更新至關重要。更重要的是這個失敗的故事清楚地表明有時軟體開發人員如何在沒有完全理解問題的情況下嘗試透過簡單的更改來解決問題。最初甚至在向報告該問題之前他們在年月擊敗了使用文件替換並繞過證書驗證的最簡單版本的攻擊。此漏洞被報告後年月他們關閉了「降級」選項即透過標準更新機制安裝較舊更易受攻擊的版本。
但直到沃德爾報告發布六個月
後數字 證書驗證機制才得到修復。然而這並沒有完全解決問題。是的兩種最簡單的攻擊方法已從駭客的潛在資源中刪除用惡意軟體取代更新檔案以及更改為易受攻擊的版本。但還有另一個問題任何有權訪問電腦的人都可以修改以超級用戶權限運行的更新檔案。攻擊者只需找到一種方法在正確的時間將惡意檔案插入安裝程式在驗證數位簽章之後安裝開始之前。
它奏效了因此當於年月日
在上展示他的發現時向報告問題八個月後該漏洞尚未完全修補!派崔克報告後五天開發人員終於修復了這個問題。然而這項說 備受爭議的陳冠希醜聞及其臭名昭著的“雁門昭” 法必須獨立驗證。關於黑客和開發者閱讀帕特里克·沃德爾的報告人們不禁想知道為什麼一定要這樣做。如此簡單的漏洞是如何在軟體的關鍵部分出現的?為什麼即使在報告了問題之後它也會在八個月後第三次嘗試時得到修復?必須明確的是我們並不是想給開發人員貼上無能的標籤因為所有程式都會時不時地出現錯誤和錯誤。
Tags: Whatsapp數據, Whatsapp行銷數據, WS行銷活動數據, 伊朗 WhatsApp 號碼數據, 購買Whatsapp數據