Resumo de segurança de outubro de 2020

Nova chamada do governo para backdoors de criptografia, restrições de certificado do Android 11, criptografia Zoom e2e e vulnerabilidade de falsificação da barra de endereços.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

Bem-vindo à edição de outubro do Security Roundup do SSL.com! Para esta edição especial de Halloween, mantivemos nosso conteúdo exatamente o mesmo. Afinal, o que é mais assustador do que preocupações com a segurança digital e criptografia defeituosa?

E você sabia que SSL.com agora também tem um boletim informativo por e-mail? Preencha o formulário abaixo para receber PKI e notícias de segurança digital como esta, além de informações sobre produtos e serviços da SSL.com. (Você pode cancelar a inscrição facilmente a qualquer momento clicando no desinscrever link em cada e-mail que enviamos.):




EUA junta-se a seis países em nova chamada para acesso de criptografia backdoor

Mais uma vez, quem está no poder clama pelas chamadas “portas dos fundos” para a criptografia. Desta vez, de acordo com The Verge, os EUA estão se juntando ao Reino Unido, Austrália, Nova Zelândia, Canadá, Índia e Japão em uma declaração internacional que pede acesso às agências de aplicação da lei. Russell Brandom escreve:

O Departamento de Justiça tem uma longa história de defesa contra a criptografia. Em 2018, cinco dos sete países participantes expressaram dúvidas semelhantes em um memorando aberto às empresas de tecnologia, embora o memorando tenha resultado em pouco ou nenhum progresso na questão por parte da indústria. A cada vez, as empresas de tecnologia têm insistido que qualquer backdoor construído para a aplicação da lei seria inevitavelmente visado por criminosos e, em última análise, deixaria os usuários menos seguros ... Crucialmente, os sete países não procurariam apenas acessar dados criptografados em trânsito - como o final criptografia completa usada pelo WhatsApp - mas também dados armazenados localmente, como o conteúdo de um telefone.

Sem surpresa, empresas de tecnologia e defensores da privacidade também se manifestaram contra a declaração como outras tentativas de impedir a criptografia pelos poderes constituídos.

Conclusão de SSL.com: Não importa quantas cartas sejam escritas, SSL.com não concorda em abrir backdoors para criptografia. Eles não apenas representam uma ameaça maior à segurança do que sua ausência, mas também minam a privacidade de uma forma real e perigosa.

O Android 11 aumenta as restrições de certificados de CA

Tim Perry relatórios no Android Toolkit que o Android 11, que foi lançado em 11 de setembro, torna “impossível para qualquer aplicativo, ferramenta de depuração ou ação do usuário solicitar a instalação de um certificado CA, mesmo no armazenamento de certificados gerenciados pelo usuário não confiável por padrão. A única maneira de instalar qualquer certificado de CA agora é usando um botão escondido nas configurações, em uma página à qual os aplicativos não podem ser vinculados. ”

Por que isso é importante? Bem, embora o gerenciamento de CA deva ser controlado com cuidado, há motivos potenciais para os aplicativos terem acesso para escolher quais são confiáveis. Os desenvolvedores o usam para testes, por exemplo, e essa mudança torna isso muito mais difícil. Ainda assim, é difícil argumentar que a mudança é uma perda quando vista pelas lentes da segurança; aplicativos solicitando que os usuários instalem certificados raiz pode levar a todos os tipos de problemas, como permitir que bandidos tenham acesso a sites fraudulentos e descriptografia de tráfego da Internet.

Conclusão de SSL.com: Embora os desenvolvedores do Android possam lamentar sua recente incapacidade de instalar certificados CA por meio de aplicativos, o controle mais rígido sobre os armazenamentos de certificados do Android também pode ser visto como uma vitória para a privacidade. Vejo esta peça da Electronic Frontier Foundation, que celebra a interface de usuário mais detalhada e explícita do Android 11 para instalação de certificados.

Zoom diz que a criptografia de ponta a ponta está pronta

Tem sido um grande ano para a Zoom, uma empresa que primeiro ganhou as manchetes como uma forma de todos nós estarmos conectados durante o bloqueio pandêmico, e depois virou manchete por permitir que pessoas indesejadas se conectassem a todos também, devido a problemas de segurança. Em um movimento recente para melhorar a privacidade e a segurança, a Zoom anunciou que sua implementação de criptografia de ponta a ponta está pronta para uma prévia.

Claro que, como um artigo de Simon Sharwood no The Register aponta, a Zoom afirmou ter sua própria marca de “criptografia ponta a ponta” em abril, mas na época a aplicação da empresa de TLS e HTTPS significava que o próprio Zoom poderia interceptar e descriptografar bate-papos - o tráfego era criptografado apenas "do ponto final do Zoom para o ponto final do Zoom". Agora o Zoom anunciou estará oferecendo criptografia ponta a ponta real, que não permite o acesso aos bate-papos.

No entanto, como o The Register observa, há um problema:

Não pense que a visualização significa que o Zoom superou a segurança, porque a empresa diz: 'Para usá-lo, os clientes devem habilitar reuniões E2EE no nível da conta e optar pelo E2EE por reunião' ... Com os usuários tendo para serem constantemente lembrados de usar senhas que não sejam lixo, não clicar em phishing ou vazar dados de negócios em dispositivos pessoais, eles quase certamente escolherão o E2EE todas as vezes, sem nunca terem que ser solicitados, certo?

[classe su-note = ”informações”]Conclusão de SSL.com: Como usuários diários do Zoom, aplaudimos as melhorias em seu histórico irregular de segurança. No entanto, a criptografia de ponta a ponta deve ser o padrão, em vez de exigir a opção a cada vez. [/ Su_note]

Navegadores móveis populares e Safari são vulneráveis ​​a ataques de falsificação da barra de endereço

Em más notícias divulgadas por pesquisadores de segurança cibernética, parece que algumas barras de endereço do navegador são vulneráveis ​​a falsificação. Ravie Lakshmanan com The Hacker News relata que o Apple Safari e navegadores móveis como Opera Touch e Bolt estão abertos a falsificações, o que deixa usuários desavisados ​​suscetíveis a baixar malware e ataques de phishing. Lakshmanan escreve:

O problema decorre do uso de código JavaScript executável malicioso em um site arbitrário para forçar o navegador a atualizar a barra de endereço enquanto a página ainda está sendo carregada para outro endereço de escolha do invasor ... (Um) invasor pode configurar um site malicioso e atrair o alvo para abrir o link de um e-mail ou mensagem de texto falsificados, levando assim um destinatário desavisado a baixar malware ou correr o risco de ter suas credenciais roubadas.

No final de outubro, UCWeb e Bolt não tinham recebido correções, uma correção para o Opera era esperada em novembro e o Safari corrigiu o problema por meio de uma atualização.

Conclusão de SSL.com: Embora não seja agradável, este deve ser um lembrete eficaz para atualizar seu navegador! Embora, é claro, nossos usuários se mantenham atualizados sobre os vários problemas de segurança do navegador descobertos a cada ano, as atualizações regulares garantirão que você obtenha todos os patches.

SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS.

COMPARAR SSL /TLS CERTIFICADOS

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.