用户1340774522 转发了 @用户1340774522 的微博:抓包看了一下，BOOX 的固件更新全用的是明文 HTTP 连接，文石这公司真的司马。  原文转发[3] 原文评论[7]

转发理由:最重要的是*获取更新信息*的接口也是 HTTP 连接，等于说响应所含 MD5 值（我就不吐槽算法是 MD5 了……）同样可以伪造，攻击者可下发任意更新包//@用户1340774522:错误。看起来固件包的加密完全是可逆的，有人已经发现了算法：http://t.cn/A6G8b2eY//@王吵闹:文石Boox的固件包是加密的，这个问题不大。 2020-11-22 19:08:12 举报 收藏 操作