最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Chrome、Android、Microsoft和Mozilla不再使用TrustCor

行业文章 快米云 来源:快米云 236浏览

Chrome、Android、Microsoft 和 Mozilla 不再使用 TrustCor

  • 在卡尔加里大学的一位教授在 Google Groups 帖子中揭示了安全问题后,Google、Android 和 Mozilla 放弃了对 TrustCor 的支持。
  • 该教授和《华盛顿邮报》发现了许多巧合,暗示存在安全问题,并引起了对 TrustCor 的不信任。
  • Google Groups 的讨论获得了很大的关注,并且可以看到多家科技巨头对此进行了回复,例如 Mozilla、Google、Apple 和 Trustcor 本身。

根据卡尔加里大学教授的研究和《华盛顿邮报》的共同努力 调查记者发现,间谍软件软件开发工具包 (SDK) 嵌入在侵入式跟踪用户的应用程序中。

发现了许多不幸的巧合

教授发现SDK来自一家名为Measurement Systems的巴拿马公司。经过进一步研究,他还发现其中一个注册域是trustcor.co,它当时被重定向到 TrustCor CA 的网站。NS 记录继续指向nsX.msgsafe.io。MsgSafe 是一款 TrustCor 加密邮件产品。

教授补充说:

« 我还在浏览器中测试了 Msgsafe 加密电子邮件产品,同时使用 Firefox 和 Chrome 的“保存到 HAR”文件选项保存生成的流量。我不相信存在 E2E 加密或 Msgsafe 无法读取用户的电子邮件。我看到电子邮件内容和附件以纯文本(通过 TLS)发送到 api.msgsafe.io ,即使在发送给其他 Msgsafe 用户或使用 PGP 或 SMIME 发送给非 Msgsafe 用户时也是如此。SMIME 证书是从服务器入站发送的,没有包含要签名的公钥的出站流量。密码以明文形式发送到服务器(通过 TLS),因此服务器也知道从该密码派生的任何密钥。汉隆的剃刀告诉我,我不应该将这些错误归因于恶意;这可能只是一个发展失败。尽管如此,我认为根证书颁发机构可以获得正确的加密是合理的期望,因此无论出于何种原因,我都很担心。»

虽然教授发现许多巧合表明 TrustCor 可能不值得信任,但他也承认他的研究并不深入。

«明确地说,我没有发现 TrustCor 颁发了错误证书或以其他方式滥用他们在代码签名、SMIME 和域验证方面的权限的证据。我只检查了公共证书透明度日志,因为我不知道代码签名和 SMIME 的类似公共审计。也许Vostrom 为 TrustCor 注册了一个听起来相似的域,并将其重定向为一种服务行为。也许 TrustCor 和 Measurement Systems 的所有权相同是巧合。也许 Frigate Bay holdings的 Raymond Saulino 与代表 Packet Forensics 的 Raymond Saulino 不同。»

从 Google 网上论坛的讨论中,我们收集到:

  • Measurement Systems 向 Android 用户分发了一个包含间谍软件的 SDK。
  • 有大量证据表明 Measurement Systems 和 TrustCor 密切相关:

    • 两人的域名都由 Vostrom Holdings 注册。(如 AppCensus的这篇文章所示)

    • 他们有相同的公司官员: Measurement SystemsTrustcor  Systems

    • TrustCor 运行邮件加密产品 MsgSafe,MsgSafe 的测试版包含唯一已知的未混淆版本的间谍软件 SDK。 (测试版 APK,由 Joel 检查并由 Google 签名)

    • MsgSafe 产品部分依赖于 TrustCor(MsgSafe 网站)颁发的 SMIME 证书。

  • 没有发现 CA 错误颁发证书的证据。

这一变化将随着 Chrome 111 的推出而生效,Chrome 111 将在大约一个月前发布测试版后于 2023 年 3 月 7 日登陆。能够接收组件更新的旧版 Chrome 也将包含在更改中。不确定我们需要等待多长时间才能过渡到 Android 设备。与可以自行调整的桌面版 Chrome 不同,Android 的根证书是作为整个操作系统的一部分进行更新的,这很可能会造成延迟。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Chrome、Android、Microsoft和Mozilla不再使用TrustCor