Welkom bij de oktobereditie van de SSL.com Security Roundup! Voor deze zeer speciale Halloween-editie hebben we onze inhoud exact hetzelfde gehouden. Wat is tenslotte griezeliger dan zorgen over digitale veiligheid en gebrekkige codering?
En wist u dat SSL.com nu ook een e-mailnieuwsbrief heeft? Vul het onderstaande formulier in om te ontvangen PKI en digitaal beveiligingsnieuws zoals dit, plus informatie over producten en diensten van SSL.com. (U kunt zich op elk moment eenvoudig afmelden door op het Afmelden link in elke e-mail die we verzenden.):
VS sluit zich aan bij zes landen in een nieuwe oproep voor backdoor-versleutelingstoegang
Nogmaals, de machthebbers pleiten voor zogenaamde "achterdeurtjes" voor versleuteling. Deze keer, volgens The Vergesluiten de VS zich aan bij het Verenigd Koninkrijk, Australië, Nieuw-Zeeland, Canada, India en Japan in een internationale verklaring die om toegang vraagt voor wetshandhavingsinstanties. Russell Brandom schrijft:
Het ministerie van Justitie heeft een lange geschiedenis in het bepleiten van anti-encryptie. In 2018 uitten vijf van de zeven deelnemende landen soortgelijke bedenkingen in een open memo aan technologiebedrijven, hoewel de memo leidde tot weinig tot geen vooruitgang in de kwestie van de industrie. Bij elke beurt hebben technologiebedrijven erop aangedrongen dat elke achterdeur die voor wetshandhaving is gebouwd, onvermijdelijk het doelwit zou zijn van criminelen, en uiteindelijk gebruikers minder veilig zou maken ... to-end-codering die wordt gebruikt door WhatsApp - maar ook lokaal opgeslagen gegevens zoals de inhoud van een telefoon.
Het is niet verwonderlijk dat ook technologiebedrijven en privacyverdedigers zich tegen de verklaring hebben uitgesproken zoals andere pogingen om codering te dwarsbomen door de krachten die er zijn.
Android 11 scherpt de beperkingen op CA-certificaten aan
Tim Perry rapporten in Android Toolkit dat Android 11, dat op 11 september werd uitgebracht, het ‘onmogelijk maakt voor een app, een hulpprogramma voor foutopsporing of een actie van een gebruiker om te vragen om een CA-certificaat te installeren, zelfs niet voor het standaard niet-vertrouwde, door de gebruiker beheerde certificaatarchief. De enige manier om nu een CA-certificaat te installeren, is door een knop te gebruiken die diep in de instellingen verborgen is, op een pagina waarnaar apps niet kunnen linken. "
Waarom is dit belangrijk? Hoewel CA-beheer zorgvuldig moet worden gecontroleerd, zijn er mogelijke redenen waarom apps toegang hebben om te kiezen welke vertrouwd worden. Ontwikkelaars gebruiken het bijvoorbeeld om te testen, en deze wijziging maakt dat veel moeilijker. Toch is het moeilijk te beweren dat de verandering een verlies is, gezien door de lens van veiligheid; apps die gebruikers vragen om te installeren root certificaten kan tot allerlei problemen leiden, zoals slechteriken toegang geven om zich voor te doen als websites en internetverkeer te decoderen.
Zoom zegt dat end-to-end-codering gereed is
Het is een belangrijk jaar geweest voor Zoom, een bedrijf dat eerst de krantenkoppen haalde als een manier voor ons allemaal om verbonden te zijn tijdens de pandemie, en vervolgens de krantenkoppen haalde om ongewenste mensen ook met iedereen in contact te laten komen vanwege beveiligingsproblemen. In een recente stap om de privacy en beveiliging te verbeteren, heeft Zoom aangekondigd dat de implementatie van end-to-end-codering klaar is voor een preview.
Uiteraard als een artikel van Simon Sharwood in The Register wijst erop dat Zoom in april beweerde een eigen merk van "end-to-end-codering" te hebben, maar op dat moment TLS en HTTPS betekende dat Zoom zelf chats kon onderscheppen en ontsleutelen. Het verkeer werd alleen versleuteld "van Zoom-eindpunt tot Zoom-eindpunt". Nu heeft Zoom aangekondigd het zal aanbieden echte end-to-end-codering, waardoor ze geen toegang hebben tot chats.
Zoals The Register opmerkt, is er echter één probleem:
[su-note class = "info"]De afhaalmaaltijd van SSL.com: Als dagelijkse Zoom-gebruikers juichen we verbeteringen toe op het gebied van beveiliging. End-to-end-versleuteling moet echter de standaard zijn en niet elke keer opnieuw moeten worden aangemeld. [/ Su_note]Denk niet dat het voorbeeld betekent dat Zoom de beveiliging heeft weggewerkt, want het bedrijf zegt: 'Om het te gebruiken, moeten klanten E2EE-vergaderingen op accountniveau inschakelen en zich per vergadering aanmelden voor E2EE' ... Met gebruikers die om constant eraan herinnerd te worden om niet-onzin wachtwoorden te gebruiken, niet op phishing te klikken of zakelijke gegevens op persoonlijke apparaten te lekken, zullen ze vrijwel zeker elke keer voor E2EE kiezen zonder ooit gevraagd te worden, toch?
Populaire mobiele browsers en Safari kwetsbaar gevonden voor spoofingaanvallen op de adresbalk
Uit slecht nieuws van cybersecurity-onderzoekers blijkt dat sommige adresbalken van browsers kwetsbaar zijn voor spoofing. Ravie Lakshmanan met The Hacker News meldt dat Apple Safari en mobiele browsers zoals Opera Touch en Bolt openstaan voor spoofing die nietsvermoedende gebruikers vatbaar maakt voor het downloaden van malware en phishing-aanvallen. Lakshmanan schrijft:
Het probleem komt voort uit het gebruik van kwaadaardige, uitvoerbare JavaScript-code op een willekeurige website om de browser te dwingen de adresbalk bij te werken terwijl de pagina nog wordt geladen naar een ander adres naar keuze van de aanvaller ... (A) Een aanvaller kan een kwaadaardige website opzetten en de doelwit om de link van een vervalste e-mail of sms te openen, waardoor een nietsvermoedende ontvanger malware downloadt of het risico loopt dat zijn inloggegevens worden gestolen.
Eind oktober hadden UCWeb en Bolt geen fixes ontvangen, werd een fix voor Opera verwacht in november en Safari had het probleem verholpen door middel van een update.
SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites.
