全景軟體聲明稿
2018-07-11 *人氣 323*
針對2018/7/10 iThome 報導「2家臺灣IT廠商憑證遭竊,並被Plead後門程式濫用」,文中指出D-Link與全景軟體(Changing Information Technology Inc.)簽署憑證遭駭客濫用,僅以下文聲明全景軟體早在2017 年 7月發現安全性疑慮時,即註銷該Code Sign憑證。
緣全景軟體於2017年 6月向Symantec公司提出Code Sign憑證申請,完成付費後Symantec公司寄來副檔名為.pfx之憑證金鑰檔案(含有受密碼保護的私鑰、公鑰及憑證),此作法與正常Code Sign憑證申請程序不合,正常程序應該是由全景軟體自行產生金鑰對,以私鑰簽署相關公鑰及申請者資訊,包裝成憑證請求檔(PKCS#10),轉由Symantec提交CA,簽發Code Sign憑證下來,私鑰不該有Symantec公司相關人員經手處理。當下包含私鑰在內的.pfx檔案,竟以email寄送方式交付,過程可能被攔截,經過暴力破解即可取得私鑰進行程式簽署。
全景軟體身為專業之PKI廠商,發現憑證申請程序存在高度風險後,立即向Symantec提出註銷該Code Sign憑證要求,該張Code Sign憑證於2017/6/5簽發後,隨即於2017/7/4註銷,相關佐證資料如下圖。
全景軟體保證,此張Code Sign憑證從未使用在任何發行之產品上,全景軟體從未收到ESET的任何通報, 此憑證的註銷是全景軟體自我安全意識下所做的決定,且註銷時間遠早於此報導時間一年以上。
