Gogo機内Wi-Fiサービスの偽装SSL証明書

機内Wi-FiサービスGogoに接続したGoogleのエンジニアは、ブラウザがGoogleのスプーフィングSSL証明書を使用していることに気づいたときに驚いていました。

Chromeチームのユーザビリティセキュリティに関する研究者であるエンジニアのAdrienne Porter Feltは、GoogleのビデオサービスのYouTubeに接続しようとすると、偽のSSL証明書を提示されました。 Feltはその後、偽装された証明書に関する詳細をTwitterに投稿しました。

こんにちは@Gogo、なぜあなたはあなたの飛行機で* .google.com証明書を発行していますか? pic.twitter.com/UmpIQ2pDaU

– Adrienne Porter Felt(@__apf__)2015年1月2日

時には、最も深刻な解決策は、問題全体を変更することです。

MITM(man-in-the-middle)攻撃とも呼ばれるスプーフィング証明書は、攻撃者が2つのシステム間で送信されるデータを傍受するためによく使用される手法です。

Gogoは、ユーザーデータが収集されたことを否定していますが、詐称された証明書を使用して、基本的な保護メカニズムをバイパスしました。しかし、2014年4月のWiredの記事では、Gogoの連邦盗聴措置が「法律が要求する以上のことをしている可能性がある」という懸念が浮上した。

Gogoが連邦通信委員会に提出した書簡によると、同社は自ら法執行機関の要請により自らのサービスに機能を追加することで、法執行法の通信援助(CALEA)の要件を自発的に上回った。この暴露は、企業が政府との取引を断つべきではなく、ユーザーを監視または追跡する能力を強化しなければならないとしている市民自由組織を警告している。

Gogoは、独自の空対地ネットワークを使用して、Delta、American Airlines、Alaska Airlines、Virgin America、US Airwaysなどの航空会社に機内Wi-Fiとデジタルエンターテイメントを提供しています。

要するに、あなたが管理していないネットワークは信頼できないネットワークなので、セキュリティ証明書などのことに注意を払う必要があります。情報の漏えいが懸念される場合は、別のレイヤーの保護をVPN接続の形で追加することを検討する必要があります。

私は偽装された証明書を信じますか?たとえ無邪気な説明であっても?一言で言えば、いいえ。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

Intelは、PC業界で間違っていること、MacでWindows 10を無料で実行する方法、ベストNASが仕事と遊びを促進する方法、AppleがiOS 8アップデート後にiPhoneとiPadのストレージを縮小することに訴えている

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

国防総省のサイバー緊急対応を批判したペンタゴン