D-link意外泄漏私有代码签名密钥

网络设备制造商D-Link犯了一个小错误，但这可能导致巨大的损失。

在D-Link发布的开源固件包中发现了他们对软件进行签名所使用的私钥。现在还不知道该密钥是否被恶意第三方利用，但存在被利用的可能性，黑客可以用这个密钥对恶意软件进行签名，使它更容易执行攻击。

一个名为Tweakers的荷兰网站从一个读者那里收到了提醒，这位读者购买了D-Link的DCS-5020L安全摄像头并且下载了固件。然后他在固件中不仅发现了私钥，而且还有对软件进行签名所使用的密码。Tweakers将这一情况转交给了荷兰安全公司Fox-IT，该公司也对其进行了验证。

“我认为这是打包发布源代码的人犯的错误，因为代码签名证书只存在于一个特定版本的源代码包中。”Fox-IT的安全研究员Yonathan Klijnsma告诉Threatpost，“该特定版本之前和之后的版本都不包含代码签名证书存在的文件夹，从文件夹中我们可以看出这是一个很简单的错误。”

Klijnsma说他不仅在D-Link的源代码包中发现证书，而且在Starfield Technologies，KEEBOX Inc，以及Alpha Networks中都存在这种问题。所有的证书现在都已经过期或被注销。然而，D-Link的cert部门在2月27日发布该证书，而9月3日才暴露出来，期间超过6个月。

“这是一个你不会想要暴露的文件，但它却很容易找到”，Klijnsma说道。