موزیلا و مایکروسافت به گواهی های TrustCor به دلیل سوء ظن در مورد عملیات مخفی جاسوس افزار بی اعتماد هستند


چرا مهم است: زنجیره اعتماد تضمین شده توسط مقامات گواهی (CA) وب را ایمن نگه می دارد و شرکت های اینترنتی را راضی نگه می دارد. با این حال، هنگامی که زنجیره قطع می شود، یک CA می تواند ناگهان به یک مهمان ناخواسته در محبوب ترین مرورگرهای وب تبدیل شود.

موزیلا، مایکروسافت و احتمالاً سایر سازندگان مرورگر شروع به اقدام علیه TrustCor، یک مرجع صدور گواهی (CA) کرده‌اند که گواهی‌های ریشه برای میلیاردها دستگاه متصل به اینترنت صادر می‌کند. بر اساس تحقیقات اخیر و گفته‌های خود شرکت، TrustCor با نهاد دیگری که در فضای جاسوس‌افزار تجارت می‌کند، کار می‌کند – یا کار کرده است.

ماهیت بالقوه مبهم تجارت TrustCor در بحثی در لیست پستی موزیلا ظاهر شد، جایی که جوئل ریردون، استاد دانشگاه کلگری، یافته‌های خود را در مورد یک SDK نرم‌افزار جاسوسی پنهان در برخی از برنامه‌های اندرویدی به اشتراک گذاشت. این برنامه ها بیش از 46 میلیون بار دانلود شدند و شامل رادار دوربین سرعت، برنامه دعای مسلمانان، اسکنر QR و غیره بودند.

در اوایل نوامبر، Reardon فاش کرد که سیستم های اندازه گیری مستقر در پاناما، شرکتی بود که نرم افزار جاسوسی SDK را ایجاد کرد. تحقیقات بعدی روابط بین سیستم‌های اندازه‌گیری و یک پیمانکار دفاعی را که کارهای جنگ سایبری را برای دولت ایالات متحده انجام می‌داد، آشکار کرد. علاوه بر این، سیستم‌های اندازه‌گیری مرتبط به TrustCor به نظر می‌رسید، به طوری که هر دو شرکت در پاناما ثبت شده بودند و افسران شرکتی مشابهی داشتند.

علاوه بر این، TrustCor یک سرویس رمزگذاری ایمیل به نام MsgSafe را اجرا می کند. یک نسخه بتا از MsgSafe حاوی تنها نسخه شناخته شده بدون ابهام جاسوس افزار اندروید ساخته شده توسط Measurement Systems بود. یکی از نمایندگان TrustCor به بحث موزیلا ملحق شد و اطلاعات بیشتری را ارائه کرد، اما هیچ پاسخ روشنی در مورد دخالت این شرکت در تجارت جاسوس افزار ارائه نکرد.

در پایان، چند نکته کلیدی مشخص شد: سیستم‌های اندازه‌گیری و TrustCor حداقل تا سال 2021 رابطه‌ای با هم داشتند و یک توسعه‌دهنده استخدام شده توسط TrustCor به نسخه‌ای از کد منبع بدافزار Android سیستم اندازه‌گیری دسترسی داشت. با وجود اینکه هیچ مدرکی مبنی بر سوء استفاده TrustCor از موقعیت CA خود با صدور گواهی‌های احتمالی مخرب TLS وجود نداشت، موزیلا گفت که این شرکت به نگرانی‌های مبرم خود در مورد قابل اعتماد بودن TrusCor پاسخ نداده است.

بنابراین موزیلا تصمیم گرفت از 30 نوامبر گواهی های TrustCor را از مرورگر فایرفاکس حذف کند. ریچل مک فرسون، مدیر اجرایی TrustCor، اعلام کرد که مایکروسافت قبلاً تاریخ بی اعتمادی را برای 1 نوامبر تعیین کرده بود، در حالی که اپل و سایر شرکت های مرورگر می توانند به زودی دنبال کنند.



منبع