Diversi fornitori di software dominanti distribuiscono gli aggiornamenti su HTTP o su HTTPS con certificati errati . In generale, non mi sembra di poter contare su un canale sicuro per garantire che un programma di installazione non venga manomesso durante il trasporto.
Sembra che tutti gli installatori abbiano firme valide. Questa è una tipica schermata quando controllo le proprietà di un file di installazione:
Laparteoperativadellafinestradidialogoè"Questa firma digitale è OK." Ciò che non è chiaro è quale parte del file sta attestando la firma. Ci si aspetterebbe che questo sia tutto del file, ma non ho trovato alcuna dichiarazione da parte di Microsoft a conferma di ciò. Ricordo anche vagamente un tweet che dice che solo le parti di un file sono attestate da una firma di firma del codice.
-
Quali parti di un file vengono controllate da Windows quando si controlla se una firma di firma del codice è "OK"?
-
Esistono attacchi di terze parti noti che utilizzano programmi di installazione firmati correttamente da una seconda parte attendibile come vettore?