2020年XNUMX月のセキュリティ総まとめ

新しい政府は、暗号化バックドア、Android 11証明書の制限、Zoom e2e暗号化、およびアドレスバーのなりすましの脆弱性を求めています。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

SSL.com のセキュリティ ラウンドアップの XNUMX 月号へようこそ! この非常に特別なハロウィーン エディションでは、内容はまったく同じに保たれています。結局のところ、デジタル セキュリティの懸念や暗号化の欠陥よりも不気味なものは何でしょうか?

そして、SSL.com では電子メール ニュースレターも発行していることをご存知ですか? 以下のフォームに記入して受け取ります PKI このようなデジタル セキュリティ ニュースに加え、SSL.com の製品とサービスに関する情報も提供します。 (クリックするといつでも簡単に購読を解除できます) 登録解除 送信する各メールのリンク。):




米国、バックドア暗号化アクセスの新たな呼びかけで XNUMX か国に参加

権力者たちは再び、暗号化へのいわゆる「バックドア」を求めています。今回は、それによると、 ベルジェ、米国は英国、オーストラリア、ニュージーランド、カナダ、インド、日本と加盟しています。 国際声明で 法執行機関へのアクセスを要求します。ラッセル・ブランドムは次のように書いています。

司法省には、反暗号化を提唱してきた長い歴史があります。 2018年には、参加XNUMXカ国のうちXNUMXカ国がテクノロジー企業への公開メモで同様の懸念を表明したが、このメモでは業界からこの問題に関してほとんど進展が見られなかった。ハイテク企業は事あるごとに、法執行機関向けに構築されたバックドアは必然的に犯罪者の標的となり、最終的にはユーザーの安全性が低下すると主張してきた…重要なことに、XNUMXカ国は転送中の暗号化データにアクセスしようとするだけではない。 WhatsApp で使用されるツーエンド暗号化だけでなく、電話の内容などのローカルに保存されたデータも使用されます。

当然のことながら、テクノロジー企業やプライバシー擁護団体もこの声明に反対の声を上げています。 暗号化を阻止する他の試みとして 力によって。

SSL.comのポイント: どれほど多くの手紙が書かれたとしても、SSL.com は暗号化へのバックドアを開くことに同意しません。彼らは、彼らがいない場合よりもセキュリティに対して大きな脅威となるだけでなく、現実的かつ危険な方法でプライバシーを侵害します。

Android 11 で CA 証明書の制限が強化

ティム・ペリー Android Toolkit のレポート 11 月 11 日にリリースされた Android XNUMX では、「デフォルトでは信頼できないユーザー管理の証明書ストアであっても、アプリ、デバッグ ツール、またはユーザー アクションで CA 証明書のインストールを求めるプロンプトが表示されなくなります。」現在 CA 証明書をインストールする唯一の方法は、設定の奥深く、アプリがリンクできないページに隠されたボタンを使用することです。」

何でこれが大切ですか? CA の管理は慎重に制御する必要がありますが、アプリがどの CA を信頼するかを選択できるようにする潜在的な理由があります。たとえば、開発者はこれをテストに使用しますが、この変更によりそれがさらに困難になります。それでも、セキュリティの観点から見ると、この変更が損失であると主張するのは困難です。ユーザーにインストールを促すアプリ ルート証明書 悪者に Web サイトになりすましてアクセスさせたり、インターネット トラフィックを復号したりするなど、あらゆる種類の問題を引き起こす可能性があります。

SSL.comのポイント: Android 開発者は、アプリ経由で CA 証明書をインストールできないことが新たにわかったことを嘆いているかもしれませんが、Android の証明書ストアに対する管理が強化されたことは、プライバシーの勝利とみなすこともできます。見る この作品 これは、Android 11 の証明書インストールのためのより詳細かつ明示的なユーザー インターフェイスを称賛する電子フロンティア財団によるものです。

Zoom、エンドツーエンド暗号化の準備が完了したと発表

Zoom にとって、今年は大きな年となった。Zoom はパンデミックによるロックダウン中に私たち全員がつながる方法として最初に見出しを飾り、その後、セキュリティ上の問題により、望まない人々にも全員との接続を許可したことで話題になった。プライバシーとセキュリティを向上させるための最近の取り組みとして、Zoom はエンドツーエンド暗号化の実装がプレビューの準備ができていると発表しました。

もちろん、 サイモン・シャーウッドの記事として The Register は、Zoom が XNUMX 月に「エンドツーエンド暗号化」という独自のブランドを持っていると主張していたが、その時点で同社の TLS そして HTTPS は、Zoom 自体がチャットを傍受して復号できることを意味します。トラフィックは「Zoom エンドポイントから Zoom エンドポイントまで」のみ暗号化されます。さて、Zoomが発表しました それは提供するでしょう 実際のエンドツーエンド暗号化により、チャットへのアクセスは許可されません。

ただし、The Register が指摘しているように、落とし穴が XNUMX つあります。

Zoom がセキュリティを強化したことを意味するとは考えないでください。Zoom を使用するには、顧客はアカウント レベルで E2EE ミーティングを有効にし、ミーティングごとに E2EE にオプトインする必要があります。ゴミではないパスワードを使用すること、フィッシングをクリックしないこと、個人のデバイスでビジネス データを漏洩しないことを常に通知されると、プロンプトを表示されることなく、ほぼ確実に毎回 E2EE を選択するでしょう。

[su-noteクラス=”情報”]SSL.comのポイント: 私たち自身も毎日 Zoom ユーザーとして、セキュリティに関するむらのある記録の改善を称賛します。ただし、毎回オプトインを要求するのではなく、エンドツーエンド暗号化をデフォルトにする必要があります。[/su_note]

人気のモバイル ブラウザと Safari にバー スプーフィング攻撃への脆弱性があることが判明

サイバーセキュリティ研究者が発表した悪いニュースでは、一部のブラウザのアドレス バーがスプーフィングに対して脆弱であるようです。ラヴィー・ラクシュマナンと ハッカーニュース Apple Safari や、Opera Touch、Bolt などのモバイル ブラウザはスプーフィングの危険性があり、無防備なユーザーがマルウェアやマルウェアをダウンロードする危険にさらされていると報告しています。 フィッシング攻撃. ラクシュマナンは書いている:

この問題は、任意の Web サイトで悪意のある実行可能な JavaScript コードを使用して、攻撃者が選択した別のアドレスにページが読み込まれている間に、ブラウザにアドレス バーを強制的に更新させることに起因します。(A) 攻撃者は、悪意のある Web サイトをセットアップして、ユーザーを誘惑することができます。なりすましの電子メールやテキスト メッセージからのリンクを開かせるようにターゲットを設定すると、無防備な受信者がマルウェアをダウンロードしたり、資格情報が盗まれたりする危険があります。

XNUMX月末の時点で、UCWebとBoltは修正を受け取っていなかったが、Operaの修正はXNUMX月に予定されており、Safariはアップデートを通じてこの問題に対処した。

SSL.comのポイント: 不快ではありますが、これはブラウザを更新するための効果的なリマインダーとなるはずです。もちろん、ユーザーは毎年発見される多くのブラウザーのセキュリティ問題について常に最新の情報を入手していますが、定期的な更新によりすべてのパッチを確実に入手できます。

SSL.comは多種多様な SSL /TLS サーバー証明書 HTTPSWebサイトの場合。

SSLの比較/TLS CERTIFICATES

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。