<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 7, 2015 at 6:33 PM, Geoff Keating <span dir="ltr"><<a href="mailto:geoffk@apple.com" target="_blank">geoffk@apple.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
However, at least Safari should never show a green EV indicator in this situation, and I think this is the same for all browsers.<br></blockquote><div><br></div><div>If we presume a user with administrative access, than you can induce both Firefox and IE to display EV indicators. And, with creativity, I suspect Safari and Chrome on Mac.</div><div><br></div><div>For IE - <a href="https://technet.microsoft.com/en-us/library/dd759060.aspx">https://technet.microsoft.com/en-us/library/dd759060.aspx</a></div><div>For Firefox - You could replace the binary with one with PSM_ENABLE_TEST_EV_ROOTS - see <a href="https://wiki.mozilla.org/PSM:EV_Testing">https://wiki.mozilla.org/PSM:EV_Testing</a></div><div><br></div><div>For Safari / Chrome, using one of the library preloads with mach_star should give a sufficiently credentialed attacker the ability to interpose on the EV propbag of Security.framework to add custom roots.</div><div><br></div><div>Yes, it's true that a "default configured" instance of all of these browsers won't grant the EV treatment. But in an attack model in which the user has installed a root certificate (a privileged operation), they could just as easily pivot into another privileged position and impose there.</div></div></div></div>