Mozilla y Microsoft han tomado medidas contra la Autoridad de Certificación, acusada de tener estrechos vínculos con un contratista militar de EE. UU. que presuntamente pagó a desarrolladores de software para incorporar malware de recolección de datos en aplicaciones móviles.
La CA, TrustCor, lo niega, pero no respondió a las preguntas directas en el momento de la publicación.
Después de una larga discusión entre los empleados de Mozilla y Apple, los investigadores de seguridad y CA, el administrador del programa de Mozilla kathleen wilson Las preocupaciones de Org son «lo suficientemente importantes» como para establecer una fecha de desconfianza el 30 de noviembre para los certificados raíz de TrustCor, dijo.
El ida y vuelta se presentó en la lista de correo de política de seguridad de desarrollo (MDSP) de Mozilla, y puede leer la discusión completa aquí. Microsoft no participa en la conversación; En cambio, la ejecutiva de TrustCor, Rachel McPherson, dijo que Microsoft fijó como fecha de desconfianza el 1 de noviembre para los certificados de su empresa.
«Microsoft no nos ha dado ningún aviso previo de esta decisión», dijo McPherson. dijo.
«Nunca hemos sido acusados y no tenemos evidencia que sugiera que TrustCor violó alguna conducta, política o procedimiento, o emitió certificados confiables de manera incorrecta o trabajó con otros. No hicimos nada de eso».
Apple dijo en sus comentarios que está de acuerdo con otros comentaristas y que los hallazgos «plantean una duda razonable». [TrustCor’s] Capacidad para actuar como una CA de confianza pública».
Al momento de escribir, los certificados de TrustCor todavía aparecen en el catálogo de Apple Certificados raíz de confianzaY no está claro si iMaker planea tomar medidas por su cuenta.
Anatomía de una ruptura de confianza
Todo el asunto de Trustcar vuelve a funcionar A principios de este añoEl profesor de la Universidad de Calgary y cofundador de Appsense, Joel Reardon, descubrió el malware de recopilación de datos en una colección de aplicaciones de Android que se habían descargado más de 46 millones de veces.
Las aplicaciones afectadas incluyen radar de cámara de velocidad, aplicaciones de oración musulmana, escáner QR, aplicación meteorológica y más.
Según Reardon, Measurement Systems, con sede en Panamá, es la empresa que desarrolló el índice. En Revistas de Wall Street El informe de hallazgos de Reardon dijo que encontró vínculos entre los sistemas de medición y un contratista de defensa de Virginia que realiza trabajos de inteligencia cibernética, seguridad de redes e interceptación de inteligencia para el gobierno de EE. UU.
Se eliminaron las aplicaciones, aunque algunas regresaron a Google Play, donde se eliminó el código infractor.
Reardon pateó otra discusión El 8 de noviembre en mozilla.dev.security.policy, él y Serge Egelman de UC Berkeley informaron haber investigado los sistemas de medición.
Para un par, el sitio web de los sistemas de medición fue registrado por Vostrom Holdings, que hace negocios como Packet Forensics, una compañía que, según Reardon, vende productos de interceptación legítimos a agencias gubernamentales.
Los sistemas de medición y TrustCar están registrados en Panamá, con solo un mes de diferencia, y tienen los mismos funcionarios corporativos, dijo Reardon.
La pareja también examinó un servicio de correo electrónico encriptado operado por Trustcar llamado MSGSafe, que envía correos electrónicos en texto sin formato a través de TLS. «E2E no cree que exista el cifrado o que Msgsafe no pueda leer los correos electrónicos de los usuarios», dijo Reardon.
Reardon afirmó que no tenía «evidencia de ninguna irregularidad por parte de TrustCar» o «cualquier otra cosa que no sea una autoridad de certificación diligente y competente».
Sin embargo, agregó: «Si Trustcor fuera simplemente un servicio de correo electrónico que tergiversara sus afirmaciones de encriptación E2E y tuviera algunos vínculos con contratistas legítimos de protección contra intercepciones, no me preocuparía en este momento. Pero dado que es una autoridad de certificación raíz para miles de millones de dispositivos — incluida la mía — es justo pedir una explicación. «Creo», Reardon dijo En un grupo de discusión pública.
respuestas insatisfactorias
McPherson de TrustCor trató de responder las preguntas planteadas por Mozilla y otros en el hilo, pero los funcionarios no estaban convencidos, a pesar de la insistencia de Reardon en que la información estaba desactualizada y que Trustcor y Packet Forensics no tenían ninguna relación comercial.
Los comentarios en el hilo de discusión parecían menos preocupados por los supuestos enlaces y más preocupados porque TrustCor no pudo proporcionar respuestas satisfactorias.
«Además de los posibles vínculos con la actividad del spyware, las preocupaciones originales no me parecieron motivos para el pesimismo. Sin embargo, la forma en que estas CA abordaron los reclamos me dejó sin confianza en sus operaciones», dijo el criptógrafo Filippo Valsorta.
Otros se hicieron eco de sentimientos similares y dijeron que las respuestas de McPherson eran insuficientes para una institución. Más poder en línea como Autoridad de Certificación.
«En nuestra evaluación, las preocupaciones sobre TrustCor han sido comprobadas y los riesgos de la membresía continua de TrustCor en el programa Root de Mozilla superan los beneficios para los usuarios finales», dijo Wilson de Mozilla.
Nos comunicamos con TrustCor para averiguar qué planea hacer, pero aún no hemos recibido respuesta. ®
