其他
D-Link固件不慎公布代码签名私钥
台湾网络设备厂商D-Link不小心将自己的代码签名私钥公布在一个开源固件包中。
这起严重事件是一名新闻站点读者报告的。这名读者曾购买了衣架DCS-5020L安全照相机并且从D-Link官方网站上下载了这个固件。
D- Link按照GPL许可将固件开源,允许所有人进行分析。这名读者已经发现了用于代码签名的四个不同私钥。来自安全公司Fox-IT的安全专家 Yonathan Klijnsma已证实了这一发现。他指出,“代码签名证书确实是一个固件包,固件版本是1.00b03,它的源代码于今年2月27日公布。”
那么,为什么代码签名密钥如此重要呢?
恶意软件制造者会窃取合法的代码签名证书为恶意软件源代码签名并且逃避安全公司的检测。
在本文完成之时,尚不清楚该私钥是否已被利用、以及D-Link是否已发布修复该问题的固件新版本。