大家早上好,我是YUAN。
这几天,安全圈又曝出了一个重大漏洞。如果你的电脑使用的是技嘉-GIGABYTE主板,那么你可能已经中招了,但还不知情。
在介绍这个漏洞之前,让我们思考一个问题:如果产品经理让你实现一个自动检测更新的功能,你会怎么做呢?
这是一个很常见的功能,包括微信、浏览器等常用软件都拥有这个功能。通常的实现方法是,在软件启动时与后台通信,如果发现新版本,就从指定地址下载最新的安装包进行安装。这种实现方法看起来很简单,但是从安全的角度来看,其中存在什么风险呢?
首先,我们如何确保与真正的后台进行通信,而不是被攻击者引导到一个假地址上?
其次,我们如何确保下载的安装包是正确的,没有被篡改?
为了实现一个安全的升级程序,我们需要确保与真正的后台建立通信,并确保下载到的程序确实是我们的程序,未被篡改。通常,我们会使用HTTPS进行通信,并使用数字签名校验等手段来确保安全性。
然而,技嘉-GIGABYTE近日曝出的漏洞就是在检测更新这个功能上犯了错。
据国外专注固件的网络安全公司Eclypsium披露,他们在台湾制造商技嘉出售的主板固件中发现了漏洞。当技嘉主板重新启动时,主板固件中的代码会启动一个更新程序,该程序会下载并执行另一个软件。问题出在更新机制上,逆向分析发现,这个更新程序对下载的内容完全没有进行校验就直接运行了。更糟糕的是,这个更新程序在某些情况下可以使用HTTP而不是HTTPS进行下载。
如果黑客通过某些手段将HTTP中访问的域名劫持到自己的服务器上,那么技嘉更新程序将下载黑客预先准备的恶意程序,例如勒索软件、挖矿程序、木马或其他任意程序。因为技嘉没有进行任何校验!
那么,使用HTTPS就一定安全了吗?很遗憾,并不一定。逆向分析发现,技嘉并未对HTTPS连接过程中的服务器证书进行校验,黑客同样可以构建假的HTTPS服务进行攻击。
一般来说,浏览器访问HTTPS相对安全是因为浏览器会验证服务器证书的可信性,一旦发现不可信,就会显示警告信息。
关于浏览器如何验证证书的可信性,可以参考我之前写过的一篇文章:
为了一个HTTPS,浏览器操碎了心!
实现自动检测更新的功能是非常常见的,但是很多程序员为了简单省事,只是实现了这个功能而没有考虑安全性。对于一些小公司而言,他们开发了一些简单的软件,用户数量不多,黑客也不会注意到他们。但是,一旦这些软件的用户数量增加,就需要重视安全问题了。特别是像微信、抖音这样的国民应用,如果发现此类安全问题,那将是一场灾难。
因此,程序员们需要多了解一些安全知识,这对大家来说是有益的。据报道,受此漏洞影响的PC计算机规模可能高达几百万。如果你使用技嘉-GIGABYTE主板的电脑,建议立即检查一下。文章来源:https://uudwc.com/A/gk8az
最后,让我们思考一下,这个漏洞是否只是技嘉-GIGABYTE的一个错误呢?欢迎在评论区留言分享你的看法。文章来源地址https://uudwc.com/A/gk8az
