D-Link意外地在互联网上发布了其私人代码签名密钥

恶意软件的创建者并不是每次都要窃取或购买一个有效的代码签名证书来为他们的恶意软件签名。

 

这正是台湾一家网络设备制造商所做的D-Link，该公司不小心在该公司的开源固件包中发布了其私有代码签名密钥。

荷兰新闻网站Tweakers的一名在线读者意识到了这一问题双重的“谁买了一辆车D-Link DCS-5020L安全摄像头并从D-Link下载固件，D-Link根据GPL许可证开放其固件源代码。

 

然而，在检查固件的源代码时，读者发现似乎有四个不同的私钥用于代码签名。

测试后，用户成功创建了Windows应用程序，他可以使用属于D-Link的四个代码签名密钥之一进行签名，该密钥当时仍然有效。

 

然而，他发现的另外三个私人密码签名密钥似乎无效。

 

除了源代码中的私钥，读者还发现传递签署软件所需的短语。

 

目前尚不清楚这些私钥是否被恶意的第三方供应商使用，但这些私钥有可能被恶意的第三方供应商使用黑客签署他们的恶意软件执行攻击。

荷兰安全公司Fox IT的Yonathan Klijnsma证实了这一发现。

与此同时，D-Link已通过以下方式回应了这一问题：撤销相关证书并发布了新版本的固件，其中不包含任何代码签名密钥。

 

你也可以在这里阅读这个故事的完整翻译版本。