.
A Mozilla e a Microsoft tomaram medidas contra uma autoridade de certificação acusada de ter laços estreitos com um empreiteiro militar dos EUA que supostamente pagou desenvolvedores de software para incorporar malware de coleta de dados em aplicativos móveis.
A CA, TrustCor, nega isso, mas não respondeu às perguntas diretas no momento da publicação.
Após uma longa discussão entre a equipe da Mozilla e da Apple, pesquisadores de segurança e a própria CA, o gerente do programa Mozilla Kathleen Wilson disse que as preocupações da organização foram “substanciadas” o suficiente para definir uma data de desconfiança de 30 de novembro para os certificados raiz da TrustCor.
As trocas ocorreram na lista de discussão dev-security-policy (MDSP) da Mozilla, e você pode ler a discussão completa lá. A Microsoft não participou da conversa; em vez disso, a executiva da TrustCor, Rachel McPherson, afirmou que a Microsoft havia definido uma data de desconfiança de 1º de novembro para os certificados de sua empresa.
“A Microsoft não nos avisou com antecedência sobre esta decisão”, disse McPherson disse.
“Nunca fomos acusados e não há evidências que sugiram que a TrustCor violou conduta, política ou procedimento, emitiu certificados confiáveis indevidamente ou trabalhou com terceiros para fazê-lo. Não fizemos nada disso.”
A Apple disse em seus comentários que concorda com os pontos de vista de outros comentaristas e que as descobertas “se prestam a dúvidas razoáveis sobre [TrustCor’s] capacidade de operar como uma CA publicamente confiável.”
Até o momento, os certificados da TrustCor ainda aparecem na lista de certificados raiz confiáveise não está claro se o iMaker planeja agir por conta própria.
A anatomia de uma quebra de confiança
Todo o caso TrustCor remonta a no início deste anoquando Joel Reardon, professor da Universidade de Calgary e cofundador do AppCensus, descobriu um malware de coleta de dados em uma coleção de aplicativos Android baixados mais de 46 milhões de vezes.
Os aplicativos infectados incluíam um radar de câmera de velocidade, aplicativos de oração muçulmanos, scanner QR, aplicativo meteorológico e muito mais.
De acordo com Reardon, a Measurement Systems, com sede no Panamá, foi a empresa que desenvolveu o código. No do Wall Street Journal relatório sobre as descobertas de Reardon, alegou ter encontrado laços entre a Measurement Systems e um empreiteiro de defesa da Virgínia que fazia trabalho de inteligência cibernética, defesa de rede e interceptação de inteligência para o governo dos EUA.
Os aplicativos foram retirados, embora alguns tenham retornado ao Google Play com o código ofensivo removido.
Reardon começou outra discussão em mozilla.dev.security.policy em 8 de novembro, no qual ele e Serge Egelman, da UC Berkeley, relataram sobre sua pesquisa em sistemas de medição.
De acordo com o par, o site da Measurement Systems foi registrado pela Vostrom Holdings, que faz negócios como Packet Forensics, uma empresa que Reardon disse que vende produtos de interceptação legal para agências governamentais.
A Measurement Systems e a TrustCor estão registradas no Panamá, com apenas um mês de diferença, e têm o mesmo grupo de diretores corporativos, disse Reardon.
A dupla também investigou um serviço de e-mail criptografado executado pela TrustCor chamado Msgsafe, que, segundo eles, envia e-mail em texto sem formatação por TLS. Reardon disse que “não está convencido de que haja criptografia E2E ou que o Msgsafe não possa ler os e-mails dos usuários”.
Reardon enfatizou que não tinha “nenhuma evidência de que a Trustcor tenha feito algo errado” ou “foi outra coisa senão uma autoridade de certificação competente e diligente”.
No entanto, ele acrescentou: “Se o Trustcor fosse simplesmente um serviço de e-mail que deturpasse suas alegações de criptografia E2E e tivesse algumas conexões com empreiteiros de defesa de interceptação legal, eu não levantaria uma preocupação neste local. Mas porque é uma autoridade de certificação raiz em bilhões de dispositivos – incluindo o meu – acho razoável ter uma explicação”, Reardon disse no fórum de discussão pública.
Respostas insatisfatórias
McPherson da TrustCor tentou responder às perguntas feitas pela Mozilla e outros no tópico, mas apesar de sua insistência de que as informações de Reardon estavam desatualizadas e que a Trustcor e a Packet Forensics não tinham relacionamento comercial em andamento, as autoridades não estavam convencidas.
Os comentários no tópico de discussão pareciam menos preocupados com os supostos links e mais preocupados com o fato de que a TrustCor não poderia fornecer respostas satisfatórias.
“As preocupações originais, exceto os possíveis links para uma operação de spyware, não pareciam motivos para desconfiança para mim. No entanto, a maneira como esta CA abordou as reivindicações não me deixa confiante em suas operações”, disse o criptógrafo Filippo Valsorda.
Outros ecoaram sentimentos semelhantes, dizendo que as respostas de McPherson não eram suficientes para uma empresa com tanto poder on-line quanto uma autoridade de certificação.
“Nossa avaliação é que as preocupações sobre o TrustCor foram substanciadas e os riscos da associação contínua do TrustCor no Programa Raiz da Mozilla superam os benefícios para os usuários finais”, disse Wilson, da Mozilla.
Entramos em contato com a TrustCor para saber o que planeja fazer, mas ainda não recebemos resposta. ®
.
