当信任成为攻击武器:代码签名如何被系统性地武器化
2012年,一种名为Flame的恶意软件在中东地区的计算机系统中悄然蔓延。它不仅使用了有效的数字证书签名,而且这个证书竟然来自一家知名的硬件制造商——宏碁的一家台湾子公司。安全研究人员最初以为自己看错了:一个经过微软Windows系统完整验证的、带有可信证书链签名的文件,怎么可能是恶意软件? ...
供应链安全
一行看不见的字符如何让编译器背叛你:从Unicode双向文本到Trojan Source的供应链暗战
2021年10月,剑桥大学的两位研究员向19家科技公司发送了一份措辞谨慎的安全报告。报告中包含一段C代码,看起来简单到不值一提:检查用户是否为管理员,如果不是就什么都不做。然而,编译运行后,程序却打印出了"You are an admin." ...
锁文件的两难困境:为何确定性构建的守护者成了攻击者的捷径
2019年,安全研究员 Liran Tal 做了一个实验。他向一个开源项目提交了一个看似普通的 Pull Request,添加了两个依赖包,代码审查一切正常——包名正确、版本有效、没有 typosquatting 痕迹。PR 被合并了。 ...