Wegen Spyware-Verdacht setzen Microsoft und Mozilla die Anerkennung in Trustcor-Zertifikate aus. Andere Browserhersteller, darunter Google und Apple, könnten folgen.
Autor: Dr. Jakob Jung
Anfang November äußerten Joel Reardon, Professor an der Universität von Calgary, und andere im Mozilla-Diskussionsforum Dev Security Bedenken gegen TrustCor. Der Hauptvorwurf gegen TrustCor lautete, dass es mit Measurement Systems aus Panama verbunden zu sein schien, das ein SDK mit Spyware an Android-Nutzer verteilte. Es wurden die folgenden Beweise vorgelegt:
Measurement Systems und TrustCor ließen ihre Domains von Vostrom Holdings registrieren.
Die beiden Unternehmen haben identische Vorstandsmitglieder.
TrustCor betreibt das E-Mail-Verschlüsselungsprodukt MsgSafe. Eine Betaversion von MsgSafe enthielt die „einzige bekannte unverfälschte Version des Spyware-SDK“ von Measurement Systems.
Im Laufe der Diskussion in der Sicherheitsgruppe kamen neue Informationen ans Licht. Ein Vertreter von TrustCor stellte Informationen zur Verfügung.
Am Ende war klar, dass es zumindest bis 2021 Verbindungen zwischen Measurement Systems und TrustCor gab und dass ein von TrustCor angestellter Entwickler Zugang zu einer unverfälschten Version des Quellcodes des Malware-SDK von Measurement Systems hatte. Es wurden jedoch keine Beweise für die falsche Ausstellung von Zertifikaten vorgelegt.
Mozilla hat beschlossen, TrustCor-Zertifikaten, die im Mozilla Root Store enthalten sind, ab dem 30. November 2022 zu misstrauen. Die Zertifikate werden aus dem Root Store entfernt, wenn sie ablaufen. Die Zertifikate können auch früher entfernt werden, wenn „Beweise dafür gefunden werden, dass die Zertifizierungsstelle Zertifikate missbraucht hat oder die Zertifizierungsstelle Zertifikate rückdatiert, um die Misstrauenseinstellungen zu umgehen“.
Ein Vertreter von Google äußerte sich wie folgt: „Die Untersuchungen von AppCensus und unsere eigenen Untersuchungen haben „Zufälle“ aufgedeckt, die die Ehrlichkeit und Sicherheit eines öffentlich vertrauenswürdigen Root-CA-Eigentümers oder -Betreibers in Frage stellen könnten.“
Microsoft hat sich gegenüber der Diskussionsgruppe nicht geäußert, aber es hat das Misstrauensdatum auf den 1. November 2022 festgelegt.
Rachel McPherson, VP of Operations Trustcor, bestritt die Vorwürfe. Dies stieß aber auf wenig Gegenliebe bei Mozilla, das folgende Maßnahmen einleitete: „Unserer Einschätzung nach haben sich die Bedenken gegen TrustCor bestätigt und die Risiken einer weiteren Mitgliedschaft von TrustCor im Mozilla Root-Programm überwiegen die Vorteile für die Endnutzer.
In Übereinstimmung mit unserer früheren Mitteilung beabsichtigen wir, die folgenden Maßnahmen zu ergreifen: Setzen Sie „Distrust for TLS After Date“ und „Distrust for S/MIME After Date“ auf den 30. November 2022 für die drei TrustCor-Root-Zertifikate (TrustCor RootCert CA-1, TrustCor ECA-1, TrustCor RootCert CA-2), die derzeit in Mozillas Root-Store enthalten sind. Entfernen Sie diese Root-Zertifikate aus Mozillas Root Store, nachdem die bestehenden TLS-Zertifikate für Endteilnehmer abgelaufen sind.“
Google und Apple haben sich noch nicht geäußert, könnten aber bald ähnliche Maßnahmen einleiten.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de