Mozilla, Microsoft drop root Certificate Authority • O registro

A Mozilla e a Microsoft tomaram medidas contra uma autoridade de certificação acusada de ter laços estreitos com um empreiteiro militar dos EUA que supostamente pagou desenvolvedores de software para incorporar malware de coleta de dados em aplicativos móveis.

A CA, TrustCor, nega isso, mas não respondeu às perguntas diretas no momento da publicação.

Após uma longa discussão entre a equipe da Mozilla e da Apple, pesquisadores de segurança e a própria autoridade certificadora, o gerente do programa Mozilla Catherine Wilson disse que as preocupações da organização eram “fundadas” o suficiente para definir uma data de desconfiança em 30 de novembro para os certificados raiz da TrustCor.

As trocas aconteceram na lista de discussão dev-security-policy (MDSP) da Mozilla, e você pode ler a discussão completa lá. A Microsoft não participou da conversa; em vez disso, a executiva da TrustCor, Rachel McPherson, afirmou que a Microsoft havia definido uma data de desconfiança em 1º de novembro para os certificados de sua empresa.

“A Microsoft não nos avisou com antecedência sobre esta decisão”, disse McPherson. disse.

“Nunca fomos acusados ​​e não há evidências que sugiram que a TrustCor violou qualquer conduta, política ou procedimento, emitiu certificados de confiança indevidamente ou trabalhou com terceiros para fazer isso. Não fizemos nada disso.”

A Apple disse em seus comentários que concorda com as opiniões de outros comentaristas e que as descobertas “se prestam a uma dúvida razoável sobre [TrustCor’s] capacidade de funcionar como uma autoridade de certificação publicamente confiável. »

No momento da redação deste artigo, os certificados da TrustCor ainda aparecem na lista de certificados raiz confiáveise não está claro se o iMaker planeja agir por iniciativa própria.

A anatomia de uma quebra de confiança

A coisa toda da TrustCor remonta a no início deste anoquando Joel Reardon, professor da Universidade de Calgary e cofundador do AppCensus, descobriu um malware de coleta de dados em uma coleção de aplicativos Android baixados mais de 46 milhões de vezes.

Os aplicativos infectados incluíam radar de radar, aplicativos de oração muçulmanos, scanner QR, aplicativo meteorológico e muito mais.

De acordo com Reardon, a Measurement Systems, com sede no Panamá, é a empresa que desenvolveu o código. No Wall Street Journal relatório sobre as descobertas de Reardon, ele alegou ter encontrado ligações entre a Measurement Systems e um empreiteiro de defesa da Virgínia que fazia trabalho de inteligência cibernética, defesa de rede e interceptação de inteligência para o governo dos EUA.

Os aplicativos foram removidos, embora alguns tenham retornado ao Google Play com o código ofensivo removido.

Reardon começou outro debate em mozilla.dev.security.policy em 8 de novembro, no qual ele e Serge Egelman da UC Berkeley relataram suas pesquisas sobre sistemas de medição.

De acordo com a dupla, o site da Measurement Systems foi registrado pela Vostrom Holdings, que faz negócios como Packet Forensics, uma empresa de acordo com Reardon que vende produtos de interceptação forense para agências governamentais.

Tanto a Measurement Systems quanto a TrustCor são registradas no Panamá, registradas com apenas um mês de diferença e têm o mesmo grupo de executivos, disse Reardon.

A dupla também investigou um serviço de e-mail criptografado executado pela TrustCor chamado Msgsafe, que eles afirmam enviar e-mails sem problemas por TLS. Reardon disse que “não estava convencido de que existe criptografia E2E ou que Msgsafe não pode ler e-mails de usuários”.

Reardon enfatizou que não tinha “nenhuma evidência de que a Trustcor fez algo errado” ou “foi outra coisa senão uma autoridade de certificação competente e diligente”.

No entanto, ele acrescentou: “Se o Trustcor fosse simplesmente um serviço de e-mail que deturpasse suas reivindicações de criptografia E2E e tivesse vínculos com prestadores de serviços de defesa contra interceptação legal, eu não estaria levantando um problema neste local. Mas porque é uma CA raiz em bilhões de dispositivos – incluindo a minha – acho razoável ter uma explicação”, Reardon disse no fórum de discussão pública.

Respostas insatisfatórias

McPherson da TrustCor tentou responder às perguntas feitas pela Mozilla e outros no tópico, mas apesar de sua insistência de que as informações de Reardon estavam desatualizadas e que a Trustcor e a Packet Forensics não tinham relacionamento comercial em andamento, as autoridades não ficaram convencidas.

Os comentários no tópico pareciam menos preocupados com os supostos links e mais preocupados com o fato de a TrustCor não fornecer respostas satisfatórias.

“As preocupações iniciais, além de possíveis links para uma operação de spyware, não me pareceram motivo de suspeita. No entanto, a maneira como esta CA abordou as reivindicações não me deixa confiante em suas operações”, disse o criptógrafo Filippo Valsorda.

Outros ecoaram sentimentos semelhantes, dizendo que as respostas de McPherson não eram boas o suficiente para uma empresa com tanto poder on-line quanto uma autoridade de certificação.

“Nossa avaliação é que as preocupações sobre o TrustCor foram justificadas e que os riscos da adesão contínua do TrustCor ao programa raiz da Mozilla superam os benefícios para os usuários finais”, disse Wilson, da Mozilla.

Entramos em contato com a TrustCor para descobrir o que ela planeja fazer, mas ainda não recebemos resposta. ®