有问题的更新是 Mavericks 组合更新,除其他外,它声称修复了最近的 SSL 漏洞/漏洞。
这个问题真的让我很恼火,所以我决定购买 Apple 的 PGP 密钥并尽我所能进行验证。在下载过程中,我使用 Wireshark 窥探了我的流量。以下是我的发现:
- 获取和验证 Apple 的 PGP 密钥是浪费时间,因为据我所知,他们不会为软件更新发布签名
- 更新下载器通过 HTTPS 连接到他们的软件下载定位器域,该域重定向到 CDN 上的实际更新(在我的例子中是 apple.vo.llnwd.net)
- 更新包的每一点都来自 CDN 的普通旧 HTTP
- 每个更新的数据包后跟一个重复的 ACK(这只发生在更新中,我所有其他下载都很好,所以我不认为这是我的基础设施)
- 默认情况下,从此处手动下载 dmg 存档是 HTTP。强制 HTTPS 会导致重定向到实际 (HTTP) 文件 URI,不会为该 URI 启用 HTTPS。
苹果(大概是对过去的批评作出回应)明确表示,更新是通过 HTTPS 传递的,除非“复杂的代理设置”使这成为不可能。我试图通过我的香草连接和 2 个离岸 VPN 下载,为了爱和金钱,我无法获得指向该文件的 HTTPS 链接(软件更新或通过网站)。
我的问题是:
- 在你看来,他们 - 或者介于两者之间的人 - 玩有趣的虫子?
- 所有这些重复的 ACK 是否值得怀疑?(我对此知之甚少,甚至无法推测)
我很怀疑,因为如果我是 NSA/GCHQ 并且我有一周的警告要拦截和替换可预测的 HTTP 端点上的二进制块,因为数百万目标机器上的代码签名完全被破坏,我可能会自动执行认为圣诞节来了两次。如果他们有能力的话,我看不出任何情况下他们可以放弃这样的机会,而且从我读到的所有内容来看,他们完全有能力做到这一点。