Skip to content

关于驱动签名合规性与WHQL认证缺失的安全隐患警示 #69

Description

@IU513

嗨,你们好。
开门见山的说,我最近与PYAS的贡献者之一吵了起来
结果遗憾的是,我与其充满火药味的辩论并没有让他听懂我的全部意思
我并没有恶意,我只是希望解决这些问题,为了所有人,包括你们的用户。所以我在此提出一个 Issue 以让你们重视这些隐患

1、使用泄露的代码签名证书

HeySafe、PYAS(可能)都存在此问题,使用了非官方的、泄露的签名(黑签)来为其驱动程序签名
风险在于,该签名随时可能被微软吊销,导致驱动无法加载,杀毒软件的核心防护功能瞬间失效,而用户可能毫不知情,处于“裸奔”状态。
即便是UI界面有提醒,仍然可能因为时间差,导致用户在未完全受安全软件保护的情况下被攻击。并且会影响你们的口碑
如果你们不认为使用黑签是错误的,反倒认为是”正常“的,你们有义务告知用户,并在安装、更新软件后通知用户你们使用了黑签,并告知潜在的影响。

这边我建议你们使用 SignPath Foundation 组织提供的服务为你们的安全软件软件签名,该组织专门给开源软件提供免费的代码签名服务,是否能用于驱动程序未知,但你们可以试试。

2、缺乏WHQL

你们的软件驱动似乎没有经过微软的WHQL(Windows Hardware Quality Labs)认证,只是在本地进行了简单的verifier测试,但那不足以覆盖大部分场景
WHQL认证包含一整套严格的驱动稳定性和兼容性测试。没有经过这些测试,意味着驱动在特定场景下(如系统睡眠、高负载)可能导致系统蓝屏、崩溃,造成用户数据丢失。
无论开发团队负不负责,这都是需要解决的重大问题,古话说得好:”防患于未然“。同样的,如果真出问题了,也会影响你们的口碑。
听这位贡献者所述,你们的团队似乎没有充裕的时间处理这些问题,但我希望你们能调整时间、挤出一点,哪怕在开发软件时在后台跑上 WHQL 驱动本地测试,即便不需要 WHQL 的签名,也是一个能保障驱动稳定性的点不是吗

总结下来就两点,而解决这两点就可以让你们变得更合规,而且这同样也是为了 PYAS、HeySafe 的用户负责。
我不需要你们的回复,只希望你们能解决这些问题并理解:接受自己存在错误才是解决问题的前提和关键,应该把困难与错误从脑中剥离开来,让你们从盲目自信走向底线思维。
需要警醒的是,代码从来不会说谎,漏洞与问题也不会因为开发者的“初心是好的”就自动消失。

期待你们的软件越来越好,
再见。

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions