Google gaat certificaatautoriteit TrustCor wegens veiligheidsredenen uit de Chrome Root Store verwijderen. Chrome-gebruikers krijgen vanaf maart een waarschuwing als ze websites bezoeken die gebruikmaken van certificaten uitgegeven door TrustCor. Eerder kondigden ook Mozilla en Microsoft maatregelen aan.
Aanleiding om het vertrouwen in de certificaatautoriteit op te zeggen zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Vorig jaar november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde.
Onderzoekers ontdekten begin 2022 dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd.
Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is zoals gezegd een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing.
Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla vorig jaar. Nu heeft ook Google maatregelen aangekondigd. Vanaf Chrome versie 111, die op 7 maart verschijnt, zullen certificaten van TrustCor niet meer worden vertrouwd. Hiervoor maakt Google gebruik van de geïntegreerde certificaat-blocklist en wordt TrustCor ook uit de Chrome Root Store verwijderd. Verder zal Android vanaf 7 maart de certificaten van TrustCor ook niet meer vertrouwen.
Deze posting is gelocked. Reageren is niet meer mogelijk.