Gogo in-flight WiFi serveren vervalst SSL-certificaten

Een Google-ingenieur die in-flight Wi-Fi-dienst Gogo verbonden was verbaasd toen ze merkte dat haar browser werd met behulp van een spoof SSL-certificaat … voor Google.

De ingenieur, Adrienne Porter Vilt, die een usability security onderzoek naar de Chrome-team, werd gepresenteerd met de nep-SSL-certificaat bij een poging om verbinding te maken met Google’s videodienst YouTube. Voelde zich vervolgens geplaatst details over de vervalste certificaat op Twitter.

hey @Gogo, waarom bent u de afgifte * .google.com certificaten op uw vliegtuigen? pic.twitter.com/UmpIQ2pDaU

– Adrienne Porter Felt (@__apf__) 2 januari 2015

Soms diepste oplossing is om het gehele probleem veranderen.

Spoofing certificaten, ook wel bekend als een man-in-the-middle (MITM) aanval, is een truc vaak gebruikt door aanvallers om gegevens te onderscheppen worden verzonden tussen twee systemen.

Terwijl Gogo heeft ontkend dat de gebruiker gegevens zijn verzameld met behulp van een vervalst certificaat het bedrijf omzeild een fundamentele beschermingen mechanisme. Echter, een Wired artikel van april 2014 hun bezorgdheid geuit dat de Gogo’s federale afluisteren bepalingen “meer dan de wet vereist dat kan doen.”

Volgens een brief Gogo aan de Federal Communications Commission is ingediend, “het artikel staat,” het bedrijf vrijwillig hoger dan de eisen van de Communications Assistance for Law Enforcement Act, of CALEA, door het toevoegen van mogelijkheden om haar dienstverlening op verzoek van de rechtshandhaving. De openbaring alarmeert de burgerlijke vrijheden groepen, die zeggen bedrijven mag niet worden snijden deals met de overheid dat de mogelijkheid om te controleren of track gebruikers kunnen verbeteren.

Gogo biedt in-flight Wi-Fi en digitaal entertainment te veel luchtvaartmaatschappijen, waaronder Delta, American Airlines, Alaska Airlines, Virgin America, en US Airways met behulp van een eigen air-to-ground-netwerk.

Bottom line is dat een netwerk dat niet onder uw controle is een niet-vertrouwd netwerk, en je moet waakzaam over de dingen zoals beveiligingscertificaten. Als u zich zorgen over het lekken van informatie bent dan moet u overwegen het toevoegen van een andere laag van bescherming in de vorm van een VPN-verbinding.

Zou ik vertrouw een vervalst certificaat, ongeacht hoe onschuldig de uitleg? In een woord, nee.

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Intel wijst alles wat er mis is met de pc-industrie; Hoe Windows 10 draaien op een Mac, voor gratis, Beste NAS-drives voor werk en ontspanning; Apple geconfronteerd met rechtszaak over krimpende iPhone en iPad opslag volgende iOS 8-update

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond