Una gran cantidad de aplicaciones populares utilizan descargadores de clientes en lugar de permitir que el usuario descargue el binario de instalación directamente desde Adobe, o quien sea el OEM. Por ejemplo, aquí está el instalador de Flash haciendo su trabajo:
El riesgo de seguridad aquí es obvio: si la descarga se realiza en texto sin formato, es vulnerable a un hombre en el ataque central. Un pirata informático que controla cualquier enrutador entre yo y Adobe, incluido el control de mi cable módem, puede apuntar e interceptar esta actualización y suministrar su propio binario modificado.
Si utilizo una descarga web HTTPS de Adobe, todavía puedo estar comprometido por un ataque MIM, pero en este caso puedo saber que hay veneno porque el certificado falso que mi navegador proporciona el MIM no coincide con el HTTPS de Adobe certificado.
Sin embargo, cuando uso el instalador personalizado de Adobe Flash Player (como se muestra arriba) no tengo forma de saber qué certificados se están intercambiando. Por lo que sé, el binario se transfiere en texto sin formato, lo que obviamente es muy inseguro.
¿Se debe confiar en este instalador?