您当前的位置:光雾山之窗 > IT > 正文

苹果iTunes数字签名遭360篡改 搜索下载无节操

www.guangwushan.net 时间:2014-11-26 来源:光雾山之窗

 核心提示:有很多网友通过微博和论坛等平台反映,他们通过360搜索下载的应用软件都会被捆绑安装360的其他产品,而最令他们震惊的是,被捆绑的软件其数字签名都改成了360。

近日,有很多网友通过微博和论坛等平台反映,他们通过360搜索下载的应用软件都会被捆绑安装360的其他产品,而最令他们震惊的是,被捆绑的软件其数字签名都改成了360。众所周知,捆绑安装是360一贯的伎俩,不过,连数字签名都更改这可以说是超出了流氓的底线。为什么这么说呢?

众所周知,前不久苹果麦芽地事件让360再一次走上了风口浪尖,尤其是对360制毒杀毒的非议和质疑更是此起彼伏。为什么360会遭到这么多的非议和质疑?根本原因在于360是一个前科累累的公司,所以,在这一次的事件中,360更改数字签名也没什么大惊小怪。如果360杀毒与恶意程序捆绑,就等于给恶意程序洗白了,不仅会逃离杀毒软件的监控范围,更重要的是,对用户的潜在危害不容忽视。

在某社交论坛上,网友“倾听雨声”称,他在360搜索软件,会得到“360软件中心”的下载链接,他通过这种方法下载了个iTunes,发现其签名用的是360的证书,且一运行程序就需要权限,而该软件真正的安装包是苹果公司签名的,仅在安装的时候才需要权限,运行时不会要求权限。这正好说明360对该软件的数字证书进行了修改,由于这种行为是神不知鬼不觉的,所以普通用户很难发现。

据介绍,数字签名相当于应用软件的身份证,如果木马盗用厂商数字签名,意味着拥有了合法软件身份,能够避开绝大多数杀毒软件的拦截。很早之前爆出的“超级火焰”病毒、以及更早的Stuxnet(超级工厂病毒)都利用了数字签名来“洗白”身份,进而实施APT网络攻击。

对于360的这种行为,业内专家表示无法接受,并呼吁行业进行更严厉的监管和惩处。首先,360在以前使用强制捆绑的模式进行推广已经遭到众多用户的抵制和唾弃,在互联网行业,360早已是劣迹斑斑、臭名远扬。而如今,360又变本加厉,可以随意的对其他软件进行数字签名的修改,一旦捆绑恶意软件,修改其数字签名,为其身份“洗白”,极有可能对用户、企业造成难以想象的危险,并带来巨大的损失。

那么,修改数字签名具体可能会有哪些方面的危害呢?比如,它可能会导致用户隐私被窃取,使用户人身财产安全面临一定的威胁;对企业则可能引发商业机密泄露等问题,给企业造成巨大的经济损失;对政府部门而言,可能会导致重要信息被泄露,影响政府工作的开展。可以说,360此次的事件不仅仅是一个互联网行业的问题,更是一个严重的社会问题。

    声明光雾山之窗登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,文章内容仅供参考。
编辑:admin ]