Monthly Shaarli

All links of one month in a single page.

May, 2021

Analyzing user behaviors via traffic dumps despite encryption

Une personne qui observe le trafic chiffré entre un visiteur et un site web peut reconstituer sa navigation en mesurant la taille de chaque page consultée et des autres éléments chargés en même temps, en s'appuyant sur une image précise du site (poids de chaque page, éléments associés à chaque page, liens entre ces pages).

Cela ne permet pas de déchiffrer des messages particuliers envoyés par le visiteur au site web (mot de passe, code de carte bancaire ...).

Your Phone Is Your Castle – Purism
thumbnail

Les iPhone sont bien sécurisés, comparables à un château fort. Mais c'est un château fort dont Apple a les clés, pas vous : c'est davantage une prison dorée qu'un domicile. À cette conception de la sécurité comme "faites confiance à Apple", les auteurs opposent l'idée de donner le contrôle à l'utilisateur, via la transparence du système.

Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective - signal

Cellebrite vend un logiciel pour extraire plein d'informations d'un portable arraché aux mains de son propriétaire (e.g. en garde à vue), dont les clés de déchiffrement de conversations Signal. Signal remarque que leur logiciel n'est pas sécurisé et distribue des fichiers exploitant ces failles aux utilisateurs de l'application.

Anyone familiar with software security will immediately recognize that the primary task of Cellebrite’s software is to parse “untrusted” data from a wide variety of formats as used by many different apps. That is to say, the data Cellebrite’s software needs to extract and display is ultimately generated and controlled by the apps on the device, not a “trusted” source, so Cellebrite can’t make any assumptions about the “correctness” of the formatted data it is receiving. This is the space in which virtually all security vulnerabilities originate.