Molte applicazioni popolari utilizzano i downloader dei clienti piuttosto che consentire all'utente di scaricare il binario di installazione direttamente da Adobe o da chiunque sia l'OEM. Ad esempio, ecco come funziona il programma di installazione di Flash:
Il rischio per la sicurezza qui è ovvio: se il download è condotto in chiaro, è vulnerabile a un uomo nel mezzo dell'attacco. Un hacker che controlla qualsiasi router tra me e Adobe, incluso il controllo del mio modem via cavo, può scegliere come target e intercettare questo aggiornamento e fornire il proprio binario modificato.
Se utilizzo un download web HTTPS da Adobe, posso comunque essere compromesso da un attacco MIM, ma in questo caso posso sapere che c'è veleno perché il certificato falso che il mio browser ha fornito dal MIM non corrisponderà all'HTTP di Adobe certificato.
Tuttavia, quando utilizzo l'Adobe Flash Player Installer personalizzato (come sopra), non ho modo di sapere quali certificati vengono scambiati. Per quel che ne so, il binario viene trasferito in testo normale, che è ovviamente molto insicuro.
Questo programma di installazione è affidabile?