Game launcher installs Root CA certificate on your machine
8 months ago
- #certificate
- #security
- #launcher
- 启动器安装了一个自定义的根CA证书,用于对下载的可执行文件进行Authenticode验证。
- 安装'Carbon Crew' CA证书作为受信任的根CA,使用户面临加密通信被中间人攻击的潜在风险。
- 该证书包含了一个不必要广泛的关键用途ID列表,引发了安全担忧。
- 此功能缺乏透明的沟通,仅在仓库的README文件中简短提及。
- 建议的修复措施包括获取合法的代码签名证书、使用sigstore、集成μthenticode,或完全移除签名验证。
- 当前的验证过程存在安全漏洞,例如未验证启动器更新程序的可执行文件。
- CA证书托管在一个不安全的HTTP端点上,进一步加剧了安全风险。
- 临时解决方案可能包括在验证后立即安装并移除CA证书。
- 未经用户同意添加受信任的根CA的做法违反了安全原则,需要立即关注。