作为一家网络设备制造商,D-Link因为设备固件遵循GPL开源许可,而在科技圈拥有不少忠实用户。不过一位名叫“bartvbl”的挪威开发者,却在浏览近期购买的DCS-5020L监控摄像头的固件时,找到了4个似乎是代码签名密钥的内容。随后,他用这些密钥进行了试验,通过自己创建的一款Windows应用程序,竟然真的验证了其中一个密钥。 目前看来,这些残留的密钥应该就是来自D-Link公司,不过另外三个密钥并未有效。据荷兰科技门户网站Tweakers报道,这项研究得到了安全公司Fox-IT的证实: 代码签名认证确实来自版本号为1.00b03的这个固件包,发布时间为今年2月27号。在此期间,D-Link已经撤销了固件中的相关证书、并且推出了新的固件。 需要指出的是,如果这些密钥被人恶意利用,就能够创建和分发绕过D-Link官方的二进制文件,但任何形式的反病毒扫描程序或许根本不会检测到异常。 [编译自:Soft Pedia]
