Velkommen til oktoberutgaven av SSL.coms Security Roundup! For denne helt spesielle Halloween-utgaven har vi holdt innholdet vårt nøyaktig det samme. Tross alt, hva er mer skummelt enn bekymringer om digital sikkerhet og feil kryptering?
Og visste du at SSL.com nå også har et nyhetsbrev på e-post? Fyll ut skjemaet nedenfor for å motta PKI og digitale sikkerhetsnyheter som dette, pluss informasjon om produkter og tjenester fra SSL.com. (Du kan når som helst avslutte abonnementet ved å klikke på annulere abonnementet lenke i hver e-post vi sender.):
USA slutter seg til seks land i ny samtale om bakdørkryptering
Nok en gang etterlyser makthavere såkalte "bakdører" til kryptering. Denne gangen, ifølge Randen, slutter USA seg med Storbritannia, Australia, New Zealand, Canada, India og Japan i en internasjonal uttalelse som ber om tilgang for politimyndigheter. Russell Brandom skriver:
Justisdepartementet har en lang historie med antikryptering. I 2018 uttrykte fem av de syv deltakerlandene lignende betenkeligheter i et åpent notat til teknologibedrifter, selv om notatet resulterte i liten eller ingen fremgang i saken fra bransjen. Ved hver sving har teknologibedrifter insistert på at enhver bakdør som er bygget for rettshåndhevelse uunngåelig vil bli målrettet av kriminelle, og til slutt vil gi brukerne mindre trygghet ... Det er viktig at de syv landene ikke bare vil få tilgang til krypterte data under transitt - for eksempel slutt- til-end-kryptering brukt av WhatsApp - men også lokalt lagrede data som innholdet på en telefon.
Det er ikke overraskende at også teknologibedrifter og talsmenn for personvern har uttalt seg mot uttalelsen som andre forsøk på å hindre kryptering av kreftene som er.
Android 11 strammer inn begrensninger på CA-sertifikater
Tim Perry rapporter i Android Toolkit at Android 11, som ble utgitt 11. september, gjør det "umulig for noen app, feilsøkingsverktøy eller brukerhandlinger å be om å installere et CA-sertifikat, til og med til den ikke-klarerte brukerstyrte sertifikatbutikken. Den eneste måten å installere et hvilket som helst CA-sertifikat på nå, er å bruke en knapp skjult dypt inne i innstillingene, på en side som apper ikke kan lenke til. "
Hvorfor er dette viktig? Vel, selv om CA-styring bør kontrolleres nøye, er det potensielle grunner til at apper har tilgang til å velge hvilke som er klarerte. Utviklere bruker den for eksempel til testing, og denne endringen gjør det mye vanskeligere. Likevel er det vanskelig å argumentere for at endringen er et tap når man ser det gjennom sikkerhetslinsen; apper som ber brukerne om å installere rotsertifikater kan føre til alle slags problemer, for eksempel å gi skurkene tilgang til å etterligne nettsteder og dekryptere internettrafikk.
Zoom sier End-to-End-kryptering er klar
Det har vært et stort år for Zoom, et selskap som først skapte overskrifter som en måte for oss alle å være koblet til under pandemisperren, og deretter laget overskrifter for å tillate uønskede folk å koble seg til alle også på grunn av sikkerhetsproblemer. I et nylig trekk for å forbedre personvern og sikkerhet, har Zoom kunngjort at implementeringen av end-to-end-kryptering er klar for forhåndsvisning.
Selvfølgelig, som en artikkel av Simon Sharwood i The Register påpeker, Zoom hevdet å ha sitt eget merke med "end-to-end-kryptering" i april, men på det tidspunktet var selskapets anvendelse av TLS og HTTPS betydde at Zoom i seg selv kunne fange opp og dekryptere chatter - trafikken ble bare kryptert "fra Zoom sluttpunkt til Zoom sluttpunkt." Nå har Zoom kunngjort det vil være å tilby ekte end-to-end-kryptering, som ikke tillater dem å få tilgang til chatter.
Som registret bemerker er det imidlertid en fangst:
[su-note class = ”info”]SSL.coms takeaway: Som daglige Zoom-brukere selv, applauderer vi forbedringer i den ujevne posten på sikkerhet. Imidlertid bør end-to-end-kryptering være en standard i stedet for å kreve å delta hver gang. [/ Su_note]Ikke tenk at forhåndsvisningen betyr at Zoom har kvadratert bort sikkerhet, fordi selskapet sier: 'For å bruke den, må kundene aktivere E2EE-møter på kontonivå og velge E2EE per møte' ... Med brukere som har for å bli stadig påminnet om å bruke passord som ikke er søppel, ikke klikke på phish eller lekke forretningsdata på personlige enheter, vil de nesten helt sikkert velge E2EE hver gang uten å måtte bli bedt om det, ikke sant?
Populære mobilnettlesere og Safari er sårbare for adressefeltets falske angrep
I dårlige nyheter utgitt av cybersecurity-forskere ser det ut til at noen nettleseradressefelt er sårbare for spoofing. Ravie Lakshmanan med The Hacker News rapporterer at Apple Safari og mobile nettlesere som Opera Touch og Bolt er åpne for spoofing som etterlater intetanende brukere utsatt for nedlasting av skadelig programvare og phishing-angrep. Lakshmanan skriver:
Problemet stammer fra å bruke skadelig kjørbar JavaScript-kode på et vilkårlig nettsted for å tvinge nettleseren til å oppdatere adressefeltet mens siden fremdeles lastes inn til en annen adresse etter angriperens valg ... (A) n angriper kan sette opp et ondsinnet nettsted og lokke mål å åpne lenken fra en falsk e-post eller tekstmelding, og føre en intetanende mottaker til å laste ned skadelig programvare eller risikere å få legitimasjonen stjålet.
I slutten av oktober hadde UCWeb og Bolt ikke mottatt rettelser, en løsning for Opera var forventet i november, og Safari hadde adressert problemet gjennom en oppdatering.
SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS-nettsteder.