Välkommen till oktoberutgåvan av SSL.coms Security Roundup! För denna mycket speciella Halloween-utgåva har vi hållit vårt innehåll exakt detsamma. När allt kommer omkring, vad är skrämmare än digitala säkerhetsproblem och felaktig kryptering?
Och visste du att SSL.com nu också har ett nyhetsbrev via e-post? Fyll i formuläret nedan för att ta emot PKI och digitala säkerhetsnyheter som denna, plus information om produkter och tjänster från SSL.com. (Du kan när som helst avsluta prenumerationen genom att klicka på prenumerationen länk i varje e-postmeddelande vi skickar.):
USA ansluter sig till sex länder i nytt samtal för bakdörrkryptering
Återigen efterlyser makthandlarna så kallade bakdörrar till kryptering. Denna gång, enligt Gränsenansluter sig USA med Storbritannien, Australien, Nya Zeeland, Kanada, Indien och Japan i ett internationellt uttalande som ber om tillgång för brottsbekämpande myndigheter. Russell Brandom skriver:
Justitiedepartementet har en lång historia av anti-kryptering. År 2018 uttryckte fem av de sju deltagande länderna liknande betänkligheter i ett öppet memo till teknikföretag, även om notatet resulterade i liten eller ingen framsteg i frågan från branschen. Vid varje tur har teknikföretag insisterat på att alla bakdörrar som byggts för brottsbekämpning oundvikligen skulle vara inriktade på brottslingar och i slutändan lämna användarna mindre säkra ... Avgörande är att de sju länderna inte bara vill få tillgång till krypterad data under transitering - till exempel till-slut-kryptering som används av WhatsApp - men också lokalt lagrade data som innehållet i en telefon.
Det är inte överraskande att teknikföretag och integritetsförespråkare också har uttalat sig mot uttalandet som andra försök att motverka kryptering av de krafter som är.
Android 11 skärper begränsningarna för CA-certifikat
Tim Perry rapporter i Android Toolkit att Android 11, som släpptes den 11 september, gör det ”omöjligt för någon app, felsökningsverktyg eller användaråtgärd att be om att installera ett CA-certifikat, till och med till det otillförlitliga, som standard användarhanterade certifikatlagret. Det enda sättet att installera något CA-certifikat nu är att använda en knapp dold i inställningarna, på en sida som appar inte kan länka till. ”
Varför är detta viktigt? Tja, även om CA-hantering bör kontrolleras noggrant, finns det potentiella skäl för appar att ha tillgång till att välja vilka som är betrodda. Utvecklare använder den till exempel för att testa, och denna förändring gör det mycket svårare. Ändå är det svårt att argumentera för att förändringen är en förlust när man ser den genom linsen av säkerhet appar som uppmanar användare att installera rotcertifikat kan leda till alla möjliga problem, som att ge skurkar tillgång till efterliknande webbplatser och dekryptera internettrafik.
Zoom säger att End-to-End-kryptering är klar
Det har varit ett stort år för Zoom, ett företag som först skapade rubriker som ett sätt för oss alla att vara anslutna under pandemilåset, och sedan gjorde rubriker för att tillåta oönskade människor att ansluta till alla också på grund av säkerhetsproblem. I ett nyligen genomfört steg för att förbättra integriteten och säkerheten har Zoom meddelat att dess implementering av end-to-end-kryptering är redo för en förhandsgranskning.
Naturligtvis som en artikel av Simon Sharwood i The Register påpekar, Zoom hävdade att de hade sitt eget varumärke av "end to end-kryptering" i april, men vid den tidpunkten var företagets tillämpning av TLS och HTTPS innebar att Zoom i sig kunde fånga upp och dekryptera chattar - trafiken krypterades bara "från Zoom slutpunkt till Zoom slutpunkt." Nu har Zoom meddelat det kommer att erbjuda verklig end-to-end-kryptering, vilket inte tillåter dem att komma åt chattar.
Men som registret antecknar finns det en fångst:
[su-note class = ”info”]SSL.com: s takeaway: Som dagliga zoomanvändare själva applåderar vi förbättringar i dess ojämna säkerhet. End-to-end-kryptering bör dock vara en standard snarare än att kräva att du väljer varje gång. [/ Su_note]Tänk inte på att förhandsgranskningen betyder att Zoom har undanröjt säkerhet, eftersom företaget säger: 'För att kunna använda det måste kunderna aktivera E2EE-möten på kontonivå och välja E2EE per möte.' att ständigt påminnas om att använda lösenord som inte är skräp, inte att klicka på phish eller läcka affärsdata på personliga enheter, de kommer nästan säkert att välja E2EE varje gång utan att behöva uppmanas, eller hur?
Populära mobila webbläsare och Safari hittade sårbara för adressfältets falska attacker
I dåliga nyheter som publicerats av cybersäkerhetsforskare verkar det som om vissa webbläsares adressfält är sårbara för falska handlingar. Ravie Lakshmanan med Hacker News rapporterar att Apple Safari och mobila webbläsare som Opera Touch och Bolt är öppna för förfalskning vilket lämnar intet ont anande användare mottagliga för nedladdning av skadlig kod och phishingattacker. Lakshmanan skriver:
Problemet härrör från att använda skadlig körbar JavaScript-kod på en godtycklig webbplats för att tvinga webbläsaren att uppdatera adressfältet medan sidan fortfarande laddas till en annan adress efter angriparens val ... (A) n angripare kan skapa en skadlig webbplats och locka rikta in sig på att öppna länken från ett falskt e-postmeddelande eller sms och därigenom leda en intet ont anande mottagare till att ladda ner skadlig kod eller riskera att få sina uppgifter stulna.
I slutet av oktober hade UCWeb och Bolt inte fått några korrigeringar, en fix för Opera förväntades i november och Safari hade tagit upp problemet genom en uppdatering.
SSL.com erbjuder ett brett utbud av SSL /TLS servercertifikat för HTTPS-webbplatser.
