Mozilla y Microsoft abandonan el registro de certificación • raíz

Mozilla y Microsoft han tomado medidas contra una autoridad de certificación acusada de tener estrechos vínculos con un contratista militar de EE. UU. que presuntamente pagó a desarrolladores de software para que incluyeran malware de recopilación de datos en aplicaciones móviles.

La CA, TrustCor, lo niega pero no respondió a las preguntas directas en el momento de la publicación.

Después de una larga discusión entre los empleados de Mozilla y Apple, los investigadores de seguridad y la propia CA, el gerente del programa de Mozilla kathleen wilson Dijo que las preocupaciones de la organización se «demostraron» lo suficiente como para establecer una fecha de no confianza del 30 de noviembre para los certificados raíz de TrustCor.

El ida y vuelta se ha realizado en la lista de correo de la Política de seguridad de desarrollo (MDSP) de Mozilla, y puede leer la discusión completa allí. Microsoft no participó en la conversación. En cambio, la ejecutiva de TrustCor, Rachel MacPherson, afirmó que Microsoft había fijado una fecha de no confianza del 1 de noviembre para los certificados de su empresa.

«Microsoft no nos dio ningún aviso previo de esta decisión», dijo McPherson. Él dijo.

«Nunca hemos sido acusados, y no hay evidencia que sugiera que TrustCor violó la conducta, la política o el procedimiento, emitió certificados de confianza falsos o trabajó con otros para hacerlo. No hicimos nada de eso».

En sus comentarios, Apple dijo que estaba de acuerdo con las opiniones de otros comentaristas y que los hallazgos «dejan dudas razonables sobre… [TrustCor’s] La capacidad de actuar como una autoridad de certificación generalmente confiable.

En el momento de escribir este artículo, los certificados TrustCor todavía aparecen en la lista de Apple de Certificados raíz de confianzay no está claro si iMaker planea tomar medidas por su cuenta.

Anatomía de una ruptura de confianza

Todo el problema de TrustCor se remonta a a principios de este añocuando el profesor de la Universidad de Calgary y cofundador de AppCensus, Joel Reardon, descubrió malware de recopilación de datos en un conjunto de aplicaciones de Android que se había descargado más de 46 millones de veces.

Las aplicaciones infectadas incluían un radar de cámara de velocidad, aplicaciones de oración musulmana, un escáner QR, una aplicación meteorológica y más.

Según Reardon, Measurement Systems, con sede en Panamá, fue la empresa que desarrolló el código. En el Wall Street Journal En un informe sobre los hallazgos de Reardon, afirmó haber encontrado vínculos entre los sistemas de medición y un contratista de defensa de Virginia que realiza trabajos de inteligencia cibernética, defensa de redes e inteligencia de intercepción para el gobierno de los Estados Unidos.

Se retiraron las aplicaciones, aunque algunas regresaron a Google Play con el ícono ofensivo eliminado.

Disparo trasero más discusión en mozilla.dev.security.policy el 8 de noviembre, donde él y Serge Eagleman de la Universidad de California, Berkeley, informan sobre sus investigaciones en los sistemas de medición.

Para cada uno de los cónyuges, el sitio web de Measurement Systems fue registrado por Vostrom Holdings, que opera como Packet Forensics, y Reardon dijo que vende productos de interceptación legal a agencias gubernamentales.

Los sistemas de medición y TrustCor están registrados en Panamá, registrados por solo un mes, y tienen el mismo grupo de funcionarios corporativos, dijo Reardon.

La pareja también investigó un servicio de correo electrónico encriptado operado por TrustCor llamado Msgsafe, que, según dijeron, envía correos electrónicos en texto sin formato a través de TLS. Reardon dijo que «no está convencido de que exista el cifrado E2E o de que Msgsafe no pueda leer los correos electrónicos de los usuarios».

Reardon afirmó que «no tenía evidencia de que Trustcor hubiera hecho algo malo» o «no tenía nada más que una autoridad de certificación competente y diligente».

Sin embargo, agregó: «Si Trustcor fuera solo un servicio de correo electrónico que tergiversa sus afirmaciones de encriptación E2E y tiene algunas conexiones con contratistas de defensa legítimos para interceptar, no plantearía ninguna preocupación en este lugar. Pero dado que es un certificado raíz en miles de millones de dispositivos, incluido el mío, creo que es razonable obtener una explicación», dijo Reardon Él dijo en el foro de debate general.

respuestas insatisfactorias

TrustCor McPherson intentó responder las preguntas planteadas por Mozilla y otros sobre el tema, pero aunque insistió en que la información de Reardon estaba desactualizada y que Trustcor y Packet Forensics no tenían una relación comercial en curso, las autoridades no quedaron convencidas.

Los comentarios en el hilo de discusión parecen menos interesados ​​en los supuestos enlaces y más preocupados por el hecho de que TrustCor no puede proporcionar respuestas satisfactorias.

El criptógrafo Filippo Valsorda dijo: «Las preocupaciones originales, además de los posibles vínculos con la operación de spyware, no eran motivo para desconfiar de mí. Sin embargo, la forma en que la CA manejó las acusaciones no me dejó confianza en sus operaciones».

Otros se hicieron eco del mismo sentimiento y dijeron que las respuestas de McPherson no eran suficientes para una empresa. Tanto poder en línea como una autoridad de certificación.

«Nuestra evaluación es que las preocupaciones sobre TrustCor han sido comprobadas y que los riesgos de continuar como miembro de TrustCor en el programa principal de Mozilla superan los beneficios para los usuarios finales», dijo Wilson de Mozilla.

Nos comunicamos con TrustCor para averiguar qué planea hacer, pero aún no hemos recibido respuesta. ®