Chrome、Android、Microsoft和Mozilla不再使用TrustCor

• 在卡尔加里大学的一位教授在 Google Groups 帖子中揭示了安全问题后，Google、Android 和 Mozilla 放弃了对 TrustCor 的支持。
• 该教授和《华盛顿邮报》发现了许多巧合，暗示存在安全问题，并引起了对 TrustCor 的不信任。
• Google Groups 的讨论获得了很大的关注，并且可以看到多家科技巨头对此进行了回复，例如 Mozilla、Google、Apple 和 Trustcor 本身。

---

根据卡尔加里大学教授的研究和《华盛顿邮报》的共同努力 调查记者发现，间谍软件软件开发工具包 (SDK) 嵌入在侵入式跟踪用户的应用程序中。

发现了许多不幸的巧合

教授发现SDK来自一家名为Measurement Systems的巴拿马公司。经过进一步研究，他还发现其中一个注册域是trustcor.co，它当时被重定向到 TrustCor CA 的网站。NS 记录继续指向nsX.msgsafe.io。MsgSafe 是一款 TrustCor 加密邮件产品。

教授补充说：

« 我还在浏览器中测试了 Msgsafe 加密电子邮件产品，同时使用 Firefox 和 Chrome 的“保存到 HAR”文件选项保存生成的流量。我不相信存在 E2E 加密或 Msgsafe 无法读取用户的电子邮件。我看到电子邮件内容和附件以纯文本（通过 TLS）发送到 api.msgsafe.io ，即使在发送给其他 Msgsafe 用户或使用 PGP 或 SMIME 发送给非 Msgsafe 用户时也是如此。SMIME 证书是从服务器入站发送的，没有包含要签名的公钥的出站流量。密码以明文形式发送到服务器（通过 TLS），因此服务器也知道从该密码派生的任何密钥。汉隆的剃刀告诉我，我不应该将这些错误归因于恶意；这可能只是一个发展失败。尽管如此，我认为根证书颁发机构可以获得正确的加密是合理的期望，因此无论出于何种原因，我都很担心。»

虽然教授发现许多巧合表明 TrustCor 可能不值得信任，但他也承认他的研究并不深入。

«明确地说，我没有发现 TrustCor 颁发了错误证书或以其他方式滥用他们在代码签名、SMIME 和域验证方面的权限的证据。我只检查了公共证书透明度日志，因为我不知道代码签名和 SMIME 的类似公共审计。也许Vostrom 为 TrustCor 注册了一个听起来相似的域，并将其重定向为一种服务行为。也许 TrustCor 和 Measurement Systems 的所有权相同是巧合。也许 Frigate Bay holdings的 Raymond Saulino 与代表 Packet Forensics 的 Raymond Saulino 不同。»

从 Google 网上论坛的讨论中，我们收集到：

• Measurement Systems 向 Android 用户分发了一个包含间谍软件的 SDK。

• 有大量证据表明 Measurement Systems 和 TrustCor 密切相关：

  • 两人的域名都由 Vostrom Holdings 注册。（如 AppCensus的这篇文章所示）

  • 他们有相同的公司官员： Measurement Systems和Trustcor  Systems。

  • TrustCor 运行邮件加密产品 MsgSafe，MsgSafe 的测试版包含唯一已知的未混淆版本的间谍软件 SDK。 （测试版 APK，由 Joel 检查并由 Google 签名）

  • MsgSafe 产品部分依赖于 TrustCor（MsgSafe 网站）颁发的 SMIME 证书。

• 没有发现 CA 错误颁发证书的证据。

这一变化将随着 Chrome 111 的推出而生效，Chrome 111 将在大约一个月前发布测试版后于 2023 年 3 月 7 日登陆。能够接收组件更新的旧版 Chrome 也将包含在更改中。不确定我们需要等待多长时间才能过渡到 Android 设备。与可以自行调整的桌面版 Chrome 不同，Android 的根证书是作为整个操作系统的一部分进行更新的，这很可能会造成延迟。