2020年XNUMX月安全摘要

新政府要求加密后门,Android 11证书限制,Zoom e2e加密和地址栏欺骗漏洞。

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

欢迎来到 SSL.com 安全综述 XNUMX 月版! 对于这个非常特别的万圣节版本,我们的内容保持不变。 毕竟,还有什么比数字安全担忧和错误加密更令人毛骨悚然的呢?

您知道 SSL.com 现在也有电子邮件通讯吗? 填写下面的表格以接收 PKI 和此类数字安全新闻,以及来自 SSL.com 的产品和服务信息。 (您可以随时通过单击 退订 我们发送的每封电子邮件中的链接。):




美国与六个国家一起呼吁后门加密访问

掌权者再次呼吁为加密设置所谓的“后门”。 这一次,根据 一触即发,美国正在加入英国、澳大利亚、新西兰、加拿大、印度和日本 在国际声明中 要求执法机构访问。 罗素布兰登写道:

司法部在反加密宣传方面有着悠久的历史。 2018 年,七个参与国中有五个在给科技公司的公开备忘录中表达了类似的疑虑,尽管该备忘录导致该行业在这个问题上几乎没有取得任何进展。 在每一个转折点,科技公司都坚持认为,任何为执法而建立的后门都将不可避免地成为犯罪分子的目标,并最终使用户的安全性降低……至关重要的是,这七个国家不仅会寻求访问传输中的加密数据——例如终端—— WhatsApp 使用的端到端加密——但也包括本地存储的数据,如手机内容。

毫不奇怪,科技公司和隐私权倡导者也公开反对该声明 与其他阻止加密的尝试一样 由现有的权力。

SSL.com的要点: 不管写了多少封信,SSL.com 都不同意打开加密后门。 他们不仅比他们的缺席对安全构成更大的威胁,而且还以真实而危险的方式破坏隐私。

Android 11 收紧对 CA 证书的限制

蒂姆·佩里 Android 工具包中的报告 11 月 11 日发布的 Android XNUMX 使得“任何应用程序、调试工具或用户操作都无法提示安装 CA 证书,即使是默认情况下不受信任的用户管理的证书存储。 现在安装任何 CA 证书的唯一方法是使用隐藏在设置深处的按钮,在应用程序无法链接到的页面上。”

为什么这很重要? 好吧,虽然 CA 管理应该受到仔细控制,但应用程序有可能选择哪些是受信任的。 例如,开发人员将其用于测试,而这种变化使这变得更加困难。 尽管如此,从安全的角度来看,很难说这种变化是一种损失。 提示用户安装的应用 根证书 可能会导致各种问题,例如让坏人访问冒充网站和解密互联网流量。

SSL.com的要点: 虽然 Android 开发人员可能会抱怨他们新发现无法通过应用程序安装 CA 证书,但加强对 Android 证书存储的控制也可以被视为隐私方面的胜利。 看 这件作品 来自电子前沿基金会,该基金会庆祝 Android 11 用于证书安装的更详细和明确的用户界面。

Zoom 表示端到端加密已准备就绪

对于 Zoom 来说,这是重要的一年,这家公司首先成为头条新闻,作为在大流行锁定期间让我们所有人联系的一种方式,然后由于安全问题,允许不受欢迎的人也与所有人联系而成为头条新闻。 在最近一项改善隐私和安全性的举措中,Zoom 宣布其端到端加密的实施已准备好进行预览。

当然, 作为西蒙·沙伍德的一篇文章 在 The Register 中指出,Zoom 在 XNUMX 月份声称拥有自己的“端到端加密”品牌,但当时该公司的应用 TLS HTTPS 意味着 Zoom 本身可以拦截和解密聊天——流量仅“从 Zoom 端点到 Zoom 端点”进行加密。 现在Zoom已经宣布 它将提供 真正的端到端加密,不允许他们访问聊天。

然而,正如 The Register 所指出的,有一个问题:

不要以为预览版意味着 Zoom 已经消除了安全性,因为该公司表示:“要使用它,客户必须在帐户级别启用 E2EE 会议,并在每次会议的基础上选择加入 E2EE”......用户拥有不断被提醒使用非垃圾密码,不要点击网络钓鱼或泄露个人设备上的业务数据,他们几乎肯定会每次都选择 E2EE,而无需提示,对吧?

[su-note class="信息"]SSL.com的要点: 作为 Zoom 的日常用户,我们对它在安全性方面参差不齐的记录表示赞赏。 但是,端到端加密应该是默认设置,而不是每次都需要选择。[/su_note]

流行的移动浏览器和 Safari 容易受到地址栏欺骗攻击

在网络安全研究人员发布的坏消息中,一些浏览器地址栏似乎容易受到欺骗。 拉维·拉克什马南 黑客新闻 报告称,Apple Safari 和 Opera Touch 和 Bolt 等移动浏览器对欺骗持开放态度,这使得毫无戒心的用户容易下载恶意软件和 网络钓鱼攻击. 拉克什马南写道:

该问题源于在任意网站中使用恶意可执行 JavaScript 代码来强制浏览器在页面仍在加载到攻击者选择的另一个地址时更新地址栏...... (A)n 攻击者可以建立一个恶意网站并引诱目标是打开欺骗性电子邮件或短信中的链接,从而导致毫无戒心的收件人下载恶意软件或冒着被盗凭据的风险。

截至 XNUMX 月底,UCWeb 和 Bolt 尚未收到修复,预计 XNUMX 月将修复 Opera,Safari 已通过更新解决了该问题。

SSL.com的要点: 虽然不愉快,但这应该是更新浏览器的有效提醒! 当然,我们的用户会及时了解每年发现的许多浏览器安全问题,但定期更新将确保您获得每个补丁。

SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。

比较SSL /TLS 证书

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。