Mozilla en Microsoft vertrouwen nieuwe certificaten van certificaatautoriteit TrustCor niet meer en zullen verschillende rootcertificaten van het bedrijf op den duur uit hun rootstores verwijderen. Aanleiding voor de maatregel zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt.

Begin november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde.

Onderzoekers ontdekten eerder dit jaar dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd.

Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing.

Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla.

"Certificaatautoriteiten spelen een zeer belangrijke rol in het internetecosysteem en het is onacceptabel voor een certificaatautoriteit om nauw verweven te zijn met een bedrijf dat zich bezighoudt met de verspreiding van malware", zegt Mozillas Kathleen Wilson. Volgens Wilson bevestigen de reacties van TrustCor de zorgen van de Firefox-ontwikkelaar. Daarom is besloten om nieuwe tls-certificaten van TrustCor niet meer te vertrouwen en op den duur de rootcertificaten van TrustCor uit de rootstore te verwijderen. Microsoft zou nieuwe TrustCore-certificaten sinds 1 november niet meer in Edge vertrouwen.