Ho letto oggi su CCleaner hack e come il codice è stato iniettato nel loro binario. Le persone sono state in grado di scaricare e installare il software compromesso prima che l'azienda lo notasse.
Non è questo il significato delle firme digitali? Firmare il file binario o fornire un checksum ha fatto qualcosa per impedirlo?
Per aggiungere confusione, in questo articolo di notizie Reuters un ricercatore afferma di avere una firma digitale:
“There is nothing a user could have noticed,” Williams said, noting that the optimization software had a proper digital certificate, which means that other computers automatically trust the program.
In che modo il sistema operativo può accettare di installare un software con una firma non valida? Oppure un utente malintenzionato può modificare la firma e binari?