H&R Block报税软件被发现安装TLS后门程序，可能危及用户数据安全。该问题在Hacker News引发讨论，102人关注并有6条评论。

H&R Block报税软件被曝安装TLS后门证书

事件核心内容： 1. 安全漏洞发现 - 用户yifanlu发现H&R Block Business 2025版报税软件会安装名为"WK ATX ServerHost 2024"的根证书（有效期至2049年） - 该证书的私钥被明文存储在DLL文件中 - 证书未标注与H&R Block的关联关系，且卸载软件时不会自动移除

2. 安全风险

• 攻击者可利用该证书配合mitmproxy实施中间人攻击
• 通过DNS欺骗可劫持同一网络内虚拟机的TLS流量
• 测试网站hrbackdoor.yifanlu.com可检测系统是否受影响

3. 厂商回应

• H&R Block承认已知晓该问题（称"内部安全评估已发现类似问题"）
• 但至今未修复漏洞
• 官方技术支持页面仅提供SSL错误解决方案

4. 影响范围

• 目前确认影响Business 2025版本
• 标准版用户测试显示未受影响

5. 专家建议

• 建议用户审计系统根证书存储
• 质疑该证书存在的必要性（无正当理由安装第三方根证书）
• 认为无论是否故意，私钥泄露已构成实际安全威胁

（注：已过滤原始内容中的网站导航元素、用户评论等非核心信息，保留技术细节和事件发展关键节点）

这篇评论主要围绕某税务软件的安全问题展开讨论，主要观点如下：

1. 对软件安全性的担忧

• 用户altairprime质疑："Curious: is it carrying a SHA-1 self-signature?"（好奇：它是否携带SHA-1自签名？）
• 用户WarOnPrivacy引用官方说明："If you have an SSL error in your H&R Block Software, here's what you need to know."（如果您在H&R Block软件中遇到SSL错误，这是您需要知道的）

2. 对软件公司的批评

• 用户rawanon1111质问："When will these companies learn?"（这些公司什么时候才能吸取教训？）
• 用户musicale讽刺："Click 'I AGREE' to accept this as part of our mandatory user abuse and subjugation agreement"（点击"我同意"接受我们强制性的用户虐待和屈服协议）

3. 具体问题反馈

• 用户TheClassic指出："I have the non-business edition installed and still get a privacy error...so this seems specific to the business edition"（我安装了非商业版仍然遇到隐私错误...所以这似乎是商业版特有的问题）
• 用户sloaken简单回应："Thanks for the warning"（感谢提醒）

4. 相关链接提供

• 多位用户提供了相关参考链接，包括软件支持页面和安全分析页面