Oktober 2020 Security Roundup

Ny myndighetsanrop for kryptering av bakdører, Android 11-sertifiseringsbegrensninger, Zoom e2e-kryptering, og en sårbarhet for adressefelt.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

Velkommen til oktoberutgaven av SSL.coms Security Roundup! For denne helt spesielle Halloween-utgaven har vi holdt innholdet vårt nøyaktig det samme. Tross alt, hva er mer skummelt enn bekymringer om digital sikkerhet og feil kryptering?

Og visste du at SSL.com nå også har et nyhetsbrev på e-post? Fyll ut skjemaet nedenfor for å motta PKI og digitale sikkerhetsnyheter som dette, pluss informasjon om produkter og tjenester fra SSL.com. (Du kan når som helst avslutte abonnementet ved å klikke på annulere abonnementet lenke i hver e-post vi sender.):




USA slutter seg til seks land i ny samtale om bakdørkryptering

Nok en gang etterlyser makthavere såkalte "bakdører" til kryptering. Denne gangen, ifølge Randen, slutter USA seg med Storbritannia, Australia, New Zealand, Canada, India og Japan i en internasjonal uttalelse som ber om tilgang for politimyndigheter. Russell Brandom skriver:

Justisdepartementet har en lang historie med antikryptering. I 2018 uttrykte fem av de syv deltakerlandene lignende betenkeligheter i et åpent notat til teknologibedrifter, selv om notatet resulterte i liten eller ingen fremgang i saken fra bransjen. Ved hver sving har teknologibedrifter insistert på at enhver bakdør som er bygget for rettshåndhevelse uunngåelig vil bli målrettet av kriminelle, og til slutt vil gi brukerne mindre trygghet ... Det er viktig at de syv landene ikke bare vil få tilgang til krypterte data under transitt - for eksempel slutt- til-end-kryptering brukt av WhatsApp - men også lokalt lagrede data som innholdet på en telefon.

Det er ikke overraskende at også teknologibedrifter og talsmenn for personvern har uttalt seg mot uttalelsen som andre forsøk på å hindre kryptering av kreftene som er.

SSL.coms takeaway: Uansett hvor mange bokstaver som er skrevet, er SSL.com ikke enig i å åpne bakdører for kryptering. Ikke bare utgjør de en større trussel mot sikkerheten enn fraværet, de undergraver også personvernet på en reell og farlig måte.

Android 11 strammer inn begrensninger på CA-sertifikater

Tim Perry rapporter i Android Toolkit at Android 11, som ble utgitt 11. september, gjør det "umulig for noen app, feilsøkingsverktøy eller brukerhandlinger å be om å installere et CA-sertifikat, til og med til den ikke-klarerte brukerstyrte sertifikatbutikken. Den eneste måten å installere et hvilket som helst CA-sertifikat på nå, er å bruke en knapp skjult dypt inne i innstillingene, på en side som apper ikke kan lenke til. "

Hvorfor er dette viktig? Vel, selv om CA-styring bør kontrolleres nøye, er det potensielle grunner til at apper har tilgang til å velge hvilke som er klarerte. Utviklere bruker den for eksempel til testing, og denne endringen gjør det mye vanskeligere. Likevel er det vanskelig å argumentere for at endringen er et tap når man ser det gjennom sikkerhetslinsen; apper som ber brukerne om å installere rotsertifikater kan føre til alle slags problemer, for eksempel å gi skurkene tilgang til å etterligne nettsteder og dekryptere internettrafikk.

SSL.coms takeaway: Mens Android-utviklere kanskje klager over deres nyvunne manglende evne til å installere CA-sertifikater via apper, kan innstramming av kontrollene over Androids sertifikatbutikker også sees på som en seier for personvernet. Se dette stykket fra Electronic Frontier Foundation, som feirer Android 11s mer detaljerte og eksplisitte brukergrensesnitt for sertifikatinstallasjon.

Zoom sier End-to-End-kryptering er klar

Det har vært et stort år for Zoom, et selskap som først skapte overskrifter som en måte for oss alle å være koblet til under pandemisperren, og deretter laget overskrifter for å tillate uønskede folk å koble seg til alle også på grunn av sikkerhetsproblemer. I et nylig trekk for å forbedre personvern og sikkerhet, har Zoom kunngjort at implementeringen av end-to-end-kryptering er klar for forhåndsvisning.

Selvfølgelig, som en artikkel av Simon Sharwood i The Register påpeker, Zoom hevdet å ha sitt eget merke med "end-to-end-kryptering" i april, men på det tidspunktet var selskapets anvendelse av TLS og HTTPS betydde at Zoom i seg selv kunne fange opp og dekryptere chatter - trafikken ble bare kryptert "fra Zoom sluttpunkt til Zoom sluttpunkt." Nå har Zoom kunngjort det vil være å tilby ekte end-to-end-kryptering, som ikke tillater dem å få tilgang til chatter.

Som registret bemerker er det imidlertid en fangst:

Ikke tenk at forhåndsvisningen betyr at Zoom har kvadratert bort sikkerhet, fordi selskapet sier: 'For å bruke den, må kundene aktivere E2EE-møter på kontonivå og velge E2EE per møte' ... Med brukere som har for å bli stadig påminnet om å bruke passord som ikke er søppel, ikke klikke på phish eller lekke forretningsdata på personlige enheter, vil de nesten helt sikkert velge E2EE hver gang uten å måtte bli bedt om det, ikke sant?

[su-note class = ”info”]SSL.coms takeaway: Som daglige Zoom-brukere selv, applauderer vi forbedringer i den ujevne posten på sikkerhet. Imidlertid bør end-to-end-kryptering være en standard i stedet for å kreve å delta hver gang. [/ Su_note]

Populære mobilnettlesere og Safari er sårbare for adressefeltets falske angrep

I dårlige nyheter utgitt av cybersecurity-forskere ser det ut til at noen nettleseradressefelt er sårbare for spoofing. Ravie Lakshmanan med The Hacker News rapporterer at Apple Safari og mobile nettlesere som Opera Touch og Bolt er åpne for spoofing som etterlater intetanende brukere utsatt for nedlasting av skadelig programvare og phishing-angrep. Lakshmanan skriver:

Problemet stammer fra å bruke skadelig kjørbar JavaScript-kode på et vilkårlig nettsted for å tvinge nettleseren til å oppdatere adressefeltet mens siden fremdeles lastes inn til en annen adresse etter angriperens valg ... (A) n angriper kan sette opp et ondsinnet nettsted og lokke mål å åpne lenken fra en falsk e-post eller tekstmelding, og føre en intetanende mottaker til å laste ned skadelig programvare eller risikere å få legitimasjonen stjålet.

I slutten av oktober hadde UCWeb og Bolt ikke mottatt rettelser, en løsning for Opera var forventet i november, og Safari hadde adressert problemet gjennom en oppdatering.

SSL.coms takeaway: Selv om det ikke er hyggelig, bør dette være en effektiv påminnelse om å oppdatere nettleseren din! Selv om selvfølgelig brukerne våre holder seg oppdatert på de mange sikkerhetsproblemene i nettleseren som oppdages hvert år, vil regelmessige oppdateringer sørge for at du får alle oppdateringene.

SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS-nettsteder.

SAMMENLIGN SSL /TLS SERTIFIKATER

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.