V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
michaeljackson
V2EX  ›  分享发现

来说说我上一个帖子被人盗用 EV 代码签名的事

  •  
  •   michaeljackson · 2023-11-07 15:18:55 +08:00 · 1568 次点击
    这是一个创建于 417 天前的主题,其中的信息可能已经有所发展或是发生改变。
    原帖:
    https://www.v2ex.com/t/983477
    我当时找的是上海的帝 X (首字母)的一个 EV 代码签名注册商,他们最终是基于 SSL.com 为载体的。
    我用了一年,觉得不错,就又续费了三年。
    大概 2 个月后,有人忽然联系我,问我可以不可以卖我的某非法软件,应该是破解 steam 之类的。

    我之所以补这个贴,是因为哪个非法软件依然再推广,刚才还有人联系我想代理。

    我当时也纳闷,为啥这个软件也会找到我,结果对方说是根据代码签名。

    我当时的代码签名只在本地使用,没有上传过任何网盘啥的。所以我联系到了上海帝 X 的帮我注册的人员,他们一开始说我是不是上传到网上泄露了。我说不可能我就本地使用的。

    其实购买代码签名前我也了解过这个玩意,有个黑产叫代签,就是用别人的签名签你的软件,收费大概 400 多一次,如果是公司级别的和有效期时间长价格更贵。

    后来帝 X 和我说是他们的测试服务器被 hack 攻破,所以导致签名泄露,我也相信了。后来我联系了 SSL 官方,官方说我这个订单(订单在帝 X 那,但是当时认证的时候有邮件发送到我的邮箱的)下面有多达十几个签名证书,而实际上帝 X 只给了我一个签名文件,而且非法软件签名的证书和我的证书的序号也不一致。

    所以我对帝 X 说:我不管你代签了多少软件,但是就三个要求,订单转给我的账户,退还我的 2800 元的订单金额,并且取消签名的可用性。

    帝 X 也照做了,但是就算签名取消,已生效的签名也依旧有效,依旧用在非法软件上(具体多少非法软件被帝 X 偷偷签名了我不知道),ssl.com 官方也答应处理,目前 1 个月过去了,啥结果都没有,而且签名已经生效。

    我也是心寒了,本来想好好解决这事,但是解决不了,所以发个贴告知各位同行,注意下别被坑了。
    19 条回复    2023-12-08 15:09:12 +08:00
    tbc3211
        1
    tbc3211  
       2023-11-07 15:41:08 +08:00
    发到 unknowncheats 让老哥们帮你注销
    michaeljackson
        2
    michaeljackson  
    OP
       2023-11-07 15:51:09 +08:00
    @tbc3211 这是啥?这是一个关于外挂、逆向等技术的论坛,类似国内的看雪 ?
    fengci
        3
    fengci  
       2023-11-07 15:57:09 +08:00   ❤️ 1
    楼上的意思跟苹果企业证书一样,共享出来用的人多,就会被注销。
    michaeljackson
        4
    michaeljackson  
    OP
       2023-11-07 16:05:55 +08:00
    @fengci emmm.........以毒攻毒么?那个证书已经被取消了,但是之前被签名的非法软件依旧生效。
    billlee
        5
    billlee  
       2023-11-07 16:26:40 +08:00 via Android
    CA 应该可以设置 InvalidityDate 来 timestamped 签名也失效啊,你自己和 ssl.com 联系一下?
    michaeljackson
        6
    michaeljackson  
    OP
       2023-11-07 16:37:38 +08:00
    @billlee 联系了,校验小组上个月也处理了,但是依旧有效。
    lisxour
        7
    lisxour  
       2023-11-07 18:00:18 +08:00
    @michaeljackson #6 不知道你说的“有效”是什么意思,如果你指的是 windows 下还是照样可以运行,这是 windows 的问题,windows 运行程序时是没有做严格证书验证的,包括过期验证等等,这是系统的遗留问题。
    michaeljackson
        8
    michaeljackson  
    OP
       2023-11-07 19:42:51 +08:00
    @lisxour 嗯 就是证书显示正常,而且要到 25 年才到期。 哎......
    mjikop1231
        9
    mjikop1231  
       2023-11-08 11:26:17 +08:00
    @michaeljackson 我猜#1 的意思是让 UC 的老哥们大力的用,把你泄漏的签名上 AC 黑名单(当然 AC 的开发也在上面)
    julyclyde
        10
    julyclyde  
       2023-11-08 12:48:04 +08:00
    @michaeljackson 本来想说“二十五年长度的证书本身都不合规吧……”
    后来觉得还是建议不要把 2025 缩写成 25 比较好
    julyclyde
        11
    julyclyde  
       2023-11-08 12:48:19 +08:00
    @julyclyde 其实现在 2 年长度的证书也不合规吧
    julyclyde
        12
    julyclyde  
       2023-11-08 12:49:30 +08:00
    似乎应该由 SSL.com 那边发布一个 cert revocation list ?不过关键是客户端那边可能不去下载
    a1274598858
        13
    a1274598858  
       2023-11-08 14:06:49 +08:00
    找 CA 吊销一下呢?
    michaeljackson
        14
    michaeljackson  
    OP
       2023-11-08 15:25:39 +08:00
    @julyclyde 哦哦哦 2025 年。实际上就是 2025 年到期。
    michaeljackson
        15
    michaeljackson  
    OP
       2023-11-08 15:26:21 +08:00
    @julyclyde 不知道被签了多少黑产软件了。也联系不到那些作者。就希望别出事。
    dorothyREN
        16
    dorothyREN  
       2023-11-09 15:26:24 +08:00
    盲猜一下 帝玺?
    michaeljackson
        17
    michaeljackson  
    OP
       2023-11-13 21:59:25 +08:00
    Shiroka
        18
    Shiroka  
       2023-12-08 15:07:41 +08:00 via iPhone
    这家黑历史太多了,早年在 v 站利用 GlobalSign 的计费漏洞撸证书倒卖,后来自己成立这个公司又滥用 acme.sh 的 bug ,导致自己的中级 CA 被吊销。你现在一提他们代码签名也乱搞,那不得不说本性难移。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2786 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:57 · PVG 20:57 · LAX 04:57 · JFK 07:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.