作者 |軒轅之風(fēng)

來源 |編程技術(shù)宇宙（ID：xuanyuancoding）

這兩天，安全圈又曝重大漏洞了?。?！你可能中招了都還不知道。

(相關(guān)資料圖)

說這個(gè)漏洞前，請(qǐng)大家思考一個(gè)問題：

產(chǎn)品經(jīng)理告訴你，需要一個(gè)自動(dòng)檢測(cè)更新的功能，你打算怎么實(shí)現(xiàn)？

這是一個(gè)很常見的功能，包括像微信、瀏覽器等在內(nèi)的常用軟件基本都有這個(gè)功能，經(jīng)常點(diǎn)進(jìn)去就提示你要更新。然后點(diǎn)擊更新按鈕，進(jìn)行升級(jí)。

要實(shí)現(xiàn)這個(gè)功能，最簡(jiǎn)單的邏輯就是，軟件啟動(dòng)的時(shí)候跟后臺(tái)通信，如果發(fā)現(xiàn)更新，就從我們的指定的地址拉取最新的軟件安裝包進(jìn)行安裝，看，簡(jiǎn)單吧。

現(xiàn)在以安全的角度來審視這個(gè)過程，這里面存在什么安全風(fēng)險(xiǎn)嗎？

···

思考五秒鐘

···

首先，如何確保我們是在跟我們真正的后臺(tái)在通信？而不是某個(gè)攻擊者弄的假地址？

其次，如何確保下載的安裝包是正確的，沒有被篡改？

要完成一個(gè)安全的升級(jí)程序，需要確保與我們真實(shí)的后臺(tái)建立通信，并確保下載到的程序確實(shí)是我們的程序，未經(jīng)篡改。

一般來說，我們都會(huì)通過HTTPS通信，并加上數(shù)字簽名校驗(yàn)等手段來確保上面的安全性。

而這兩天曝出漏洞的就是大名鼎鼎的技嘉-GIGABYTE，在檢測(cè)更新這里翻了車。

據(jù)國(guó)外專注固件的網(wǎng)絡(luò)安全廠商Eclypsium披露，他們?cè)诩技纬鍪鄣闹靼骞碳邪l(fā)現(xiàn)了漏洞。

技嘉主板的計(jì)算機(jī)重新啟動(dòng)時(shí)，主板固件中的代碼就會(huì)悄悄地啟動(dòng)一個(gè)更新程序，然后這個(gè)更新程序會(huì)下載并執(zhí)行另一個(gè)軟件。

問題就出在這個(gè)更新的機(jī)制上，經(jīng)過逆向分析發(fā)現(xiàn)，這個(gè)更新程序?qū)ο螺d的內(nèi)容完全沒有任何校驗(yàn)就直接來運(yùn)行了！

更可笑的是，這個(gè)更新程序允許在一些情況下，不經(jīng)HTTPS，而是直接使用HTTP來下載文件。

假如，黑客通過一些手段，將HTTP中訪問的域名劫持到自己的服務(wù)器上，那技嘉更新程序?qū)?huì)下載到自己提前準(zhǔn)備的惡意程序，可以是一個(gè)勒索病毒，一個(gè)挖礦程序，一個(gè)木馬，一個(gè)任意的程序。因?yàn)榧技胃緵]做校驗(yàn)！

那么使用HTTPS就一定安全了嗎？

不一定。通過逆向分析發(fā)現(xiàn)，技嘉并未對(duì)HTTPS建立連接過程中的服務(wù)器證書進(jìn)行校驗(yàn)，導(dǎo)致黑客同樣可以構(gòu)建一個(gè)假的HTTPS服務(wù)，完成攻擊。

我們平時(shí)使用瀏覽器訪問HTTPS之所以相對(duì)安全，是因?yàn)闉g覽器有幫我們檢查服務(wù)器的證書是否可信，一旦發(fā)現(xiàn)不可信，就會(huì)發(fā)出如下的提醒：

至于瀏覽器是如何驗(yàn)證證書是否可信，大家可以參考我之前寫過的一篇文章：為了一個(gè)HTTPS，瀏覽器操碎了心！

一個(gè)檢測(cè)更新的功能，想必我們經(jīng)常遇到，很多時(shí)候，程序員為了簡(jiǎn)單省事，都是把功能實(shí)現(xiàn)就不管了。至于安不安全，很少考慮。

這對(duì)于一些小公司，開發(fā)一些簡(jiǎn)單的軟件，用的人也不多，黑客也不會(huì)盯上你。而一旦你的產(chǎn)品用的人多了，那可就要重視起安全問題了。尤其是像微信、抖音這類國(guó)民應(yīng)用，如果發(fā)現(xiàn)這類安全問題，那簡(jiǎn)直是一場(chǎng)災(zāi)難。

所以，程序員們，多了解一些安全知識(shí)，沒有壞處。

據(jù)悉，受這一漏洞影響的PC計(jì)算機(jī)將有幾百萬的規(guī)模。如果你的電腦是技嘉主板，趕快去檢查一下吧！

最后陰謀論一下，這真的只是技嘉一不小心的bug嗎？評(píng)論區(qū)說說你的看法。

關(guān)鍵詞：