UPS Mağazası adresine sahip küçük bir şirket, hükümetin tarayıcı güvenliğini aşmasına yardımcı olabilir
Washington Post'tan bir rapor, Google Chrome, Safari, Firefox ve ABD istihbaratıyla bağlantılı diğer teknoloji şirketleri tarafından kullanılan bir kök sertifika yetkilisi hakkında şüpheler uyandırdı. TrustCor adlı söz konusu şirket, web sitelerinin güvenilirliğini doğrulamak için bir kök sertifika yetkilisi olarak çalışıyor ve raporda herhangi bir yanlış davranışa dair somut bir kanıt bulunmasa da, şirketin güvenilirliği hakkında önemli soruları gündeme getirdi.
Kök sertifika yetkilileri , hem web sitesi sahtekarlıklarına hem de saldırılara karşı koruma sağlar. Kök sertifika yetkilileri de başkalarına sertifika verme yeteneği verme yetkisine sahip olduğundan, tüm sertifika sistemini sorguladığı için, otoritenin gözetim veya kötü amaçlı yazılım çabalarıyla bağlantılı olup olmadığı konusunda bazı endişeler doğurur.
Post , en azından TrustCor'un doğrudan kimlik doğrulamadan daha fazlasıyla bağlantılı olduğuna dair önemli kanıtlar ortaya koyuyor. TrustCor'un Panama kayıt kayıtları, Packet Forensics ile ilişkili Arizona merkezli bir casus yazılım şirketiyle, iki şirket arasında paylaşılan “aynı görevliler, acenteler ve ortaklar listesi” dahil, önemli ölçüde örtüştüğünü gösteriyor. Tanınmış bir gözetim yüklenicisi olan Packet Forensics'in 10 yılı aşkın bir süredir ABD devlet kurumlarına iletişim müdahale hizmetleri sattığı bildiriliyor.
TrustCor'un ortaklarından bir diğeri, 2010'daki Wired makalesinde Packet Forensics'in sözcüsü olarak adlandırılan Raymond Saulino ile bağlantılı. ABD Savunma Bakanlığı için milyon IP adresi . Pentagon'un bu IP adreslerini neden ajansa aktardığı hala belli değil, ancak Pentagon o sırada The Post'a “potansiyel güvenlik açıklarını tespit etmek” ve “DoD IP adres alanının yetkisiz kullanımını önlemek” için bir “pilot çabanın” parçası olduğunu söyledi. ”
Sonuç, TrustCor'un ABD gözetim operasyonlarını ilerletmek için bir sertifika yetkilisi olarak gücünü kötüye kullanmış olabileceğine dair gerçek endişeleri artırıyor. Calgary Üniversitesi'nden siber güvenlik araştırmacıları Joel Reardon ve Berkeley'deki California Üniversitesi'nden Serge Egelman, The Post'a TrustCor'un yeteneğini "kısa zaman dilimlerinde yüksek değerli hedeflere karşı" kullanabileceğine inandıklarını söyledi.
The Post'a göre TrustCor, Measurement Systems adlı Panamalı bir şirketle de bağlantılı. Bu, The Wall Street Journal'ın bu yılın başlarında bildirdiği aynı firma, geliştiricilere veri toplamak için çeşitli uygulamalara kodunun bir dizisini eklemeleri için para ödüyordu. Bir Müslüman dua uygulamasında, bir hız tuzağı algılama uygulamasında, bir QR kod okuyucuda ve diğerlerinde bulunan casus yazılım, kullanıcıların telefon numaralarını, e-posta adreslerini ve konumlarını kaydetti. Google, bu uygulamaları Play Store'dan kaldırdı.
Reardon ve Egelman ayrıca TrustCor'un MsgSafe.io adlı şifreli bir mesajlaşma aracı olan ürünlerinden birinin aslında şifreli olmadığını ve MsgSafe'in uygulama aracılığıyla gönderilen mesajları okumasına izin verdiğini buldu. Post , TrustCor'un fiziksel adresini aradığında, Toronto'daki bir UPS Mağazasına yönlendirildi. Çıkış ayrıca, web sitesindeki e-posta iletişim formunun çalışmadığını ve Panama merkezli telefon numarasının bağlantısının kesildiğini tespit etti.
Chrome, Safari ve Firefox gibi tarayıcılar şirketi bir kök sertifika yetkilisi olarak tanıdığından, TrustCor yalnızca web sitelerini sertifikalandırmaya devam edebilir (ve diğerlerine de onları sertifikalandırma yeteneği verir). The Post tarafından belirtildiği gibi, siber güvenlik araştırmacıları bulgularını Google, Apple ve Mozilla'ya bildirdiler ancak pek bir yanıt alamadılar. Şirketler, The Verge'in yorum talebine de hemen yanıt vermedi.