SSL.com의 Security Roundup XNUMX월호에 오신 것을 환영합니다! 이 아주 특별한 할로윈 에디션에서는 콘텐츠를 그대로 유지했습니다. 결국, 디지털 보안에 대한 걱정과 잘못된 암호화보다 더 으스스한 것이 무엇일까요?
이제 SSL.com에도 이메일 뉴스레터가 있다는 사실을 알고 계셨나요? 수신하려면 아래 양식을 작성하세요. PKI 이와 같은 디지털 보안 뉴스와 SSL.com의 제품 및 서비스에 대한 정보를 제공합니다. (언제든지 구독을 쉽게 취소할 수 있습니다. 수신 거부 우리가 보내는 각 이메일의 링크.) :
미국, 백도어 암호화 액세스에 대한 새로운 요구에 XNUMX개국 합류
다시 한번, 권력자들은 암호화에 대한 소위 "백도어"를 요구하고 있습니다. 이번에는 따르면 직전미국은 영국, 호주, 뉴질랜드, 캐나다, 인도, 일본과 합류한다. 국제 성명서에서 법 집행 기관에 대한 액세스를 요청합니다. 러셀 브랜덤은 다음과 같이 썼습니다.
법무부는 오랫동안 암호화 방지 옹호 활동을 해왔습니다. 2018년 XNUMX개 참가국 중 XNUMX개 국가가 기술 기업에 보낸 공개 메모에서 비슷한 우려를 표시했지만 해당 메모로 인해 업계에서는 이 문제에 대한 진전이 거의 또는 전혀 이루어지지 않았습니다. 매번 기술 회사들은 법 집행을 위해 구축된 모든 백도어는 필연적으로 범죄자들의 표적이 될 것이며 궁극적으로 사용자의 안전을 떨어뜨릴 것이라고 주장해 왔습니다. 결정적으로, XNUMX개 국가는 최종적으로 전송 중인 암호화된 데이터에 액세스하려고 하는 것뿐만 아니라 WhatsApp에서 사용하는 투엔드 암호화뿐만 아니라 휴대폰 콘텐츠와 같은 로컬에 저장된 데이터도 사용됩니다.
당연히 기술 회사와 개인 정보 보호 옹호자들은 이 성명에 반대하는 목소리를 냈습니다. 암호화를 방해하려는 다른 시도와 마찬가지로 그 힘으로.
Android 11에서는 CA 인증서에 대한 제한을 강화합니다.
팀 페리 Android 툴킷의 보고서 11월 11일에 출시된 Android XNUMX에서는 “모든 앱, 디버깅 도구 또는 사용자 작업에서 기본적으로 신뢰할 수 없는 사용자 관리 인증서 저장소에도 CA 인증서를 설치하라는 메시지를 표시하는 것이 불가능합니다. 이제 CA 인증서를 설치하는 유일한 방법은 앱이 링크할 수 없는 페이지의 설정 깊숙한 곳에 숨겨진 버튼을 사용하는 것입니다.”
이것이 왜 중요합니까? CA 관리는 신중하게 제어되어야 하지만 앱이 신뢰할 수 있는 CA를 선택하는 데 액세스할 수 있는 잠재적인 이유가 있습니다. 예를 들어 개발자는 이를 테스트에 사용하는데 이번 변경으로 인해 훨씬 더 어려워졌습니다. 그럼에도 불구하고 보안의 관점에서 볼 때 이러한 변화가 손실이라고 주장하기는 어렵습니다. 사용자에게 설치를 요청하는 앱 루트 인증서 공격자가 웹사이트를 사칭하고 인터넷 트래픽을 해독할 수 있도록 하는 등 모든 종류의 문제를 일으킬 수 있습니다.
Zoom은 종단 간 암호화가 준비되었다고 말합니다.
대유행 봉쇄 기간 동안 우리 모두가 연결될 수 있는 방법으로 처음 헤드라인을 장식한 후 보안 문제로 인해 원치 않는 사람들도 모든 사람과 연결할 수 있도록 허용하는 회사로 헤드라인을 장식한 회사인 Zoom에게는 올해가 중요한 해였습니다. 최근 개인 정보 보호 및 보안을 개선하기 위한 조치로 Zoom은 엔드투엔드 암호화 구현을 미리 볼 준비가 되었다고 발표했습니다.
물론, Simon Sharwood의 기사 The Register에서 Zoom은 XNUMX월에 자체 브랜드인 "엔드 투 엔드 암호화"를 보유하고 있다고 주장했지만 당시 회사는 TLS 그리고 HTTPS는 Zoom 자체가 채팅을 가로채서 해독할 수 있음을 의미했습니다. 트래픽은 "Zoom 끝점에서 Zoom 끝점까지"만 암호화되었습니다. 이제 Zoom이 발표했습니다. 그것은 제공할 것이다 실제 종단 간 암호화로 인해 채팅에 액세스할 수 없습니다.
그러나 The Register에 따르면 한 가지 문제가 있습니다.
[su-note class=”정보”]SSL.com의 테이크 아웃 : 매일 Zoom 사용자로서 우리는 보안에 대한 불확실한 기록 개선에 박수를 보냅니다. 그러나 매번 선택하도록 요구하는 대신 종단 간 암호화가 기본값이 되어야 합니다.[/su_note]미리보기가 Zoom이 보안을 무시했다는 뜻이라고 생각하지 마십시오. 회사에서는 '이 기능을 사용하려면 고객이 계정 수준에서 E2EE 회의를 활성화하고 회의별로 E2EE에 동의해야 합니다'라고 말합니다. 개인 장치에서 피싱을 클릭하거나 비즈니스 데이터를 유출하지 말고, 쓰레기가 아닌 비밀번호를 사용하라는 알림을 지속적으로 받으려면 메시지를 표시할 필요 없이 매번 E2EE를 선택할 것이 거의 확실합니다. 그렇죠?
인기 있는 모바일 브라우저와 Safari에서 바 스푸핑 공격에 취약한 것으로 밝혀졌습니다.
사이버 보안 연구원들이 발표한 나쁜 소식에 따르면 일부 브라우저 주소 표시줄이 스푸핑에 취약한 것으로 나타났습니다. 라비 락쉬마난 해커 뉴스 Apple Safari와 Opera Touch 및 Bolt와 같은 모바일 브라우저는 스푸핑에 노출되어 있어 의심하지 않는 사용자도 악성 코드를 다운로드할 수 있으며 피싱 공격. 락슈마난은 쓴다:
이 문제는 임의의 웹사이트에서 악성 실행 가능한 JavaScript 코드를 사용하여 페이지가 공격자가 선택한 다른 주소로 로드되는 동안 브라우저가 주소 표시줄을 업데이트하도록 하는 데서 발생합니다. (A)공격자는 악성 웹사이트를 설정하고 해당 웹사이트를 유인할 수 있습니다. 스푸핑된 이메일이나 문자 메시지의 링크를 열도록 유도하여 의심하지 않는 수신자가 악성 코드를 다운로드하거나 자격 증명을 도난당할 위험이 있습니다.
XNUMX월 말 현재 UCWeb과 Bolt는 수정 사항을 받지 못했고 Opera에 대한 수정 사항은 XNUMX월에 예상되었으며 Safari는 업데이트를 통해 이 문제를 해결했습니다.
SSL.com은 다양한 SSL /TLS 서버 인증서 HTTPS 웹 사이트 용.
