Die Zertifizierungsstelle Trustcor steckt in Chrome, Safari und Firefox - dabei hat sie Verbindungen zu Spyware- und Überwachungsfirmen.
Die Browser Chrome, Safari, Firefox und andere vertrauen den TLS-Zertifikaten der Zertifizierungsstelle Trustcor. Doch das Unternehmen hat laut der Zeitung Washington Post Verbindungen zu Auftragnehmern von US-Geheimdiensten und Strafverfolgungsbehörden.
Demnach gehe aus Registrierungsunterlagen des Unternehmens in Panama hervor, dass es über die gleichen leitenden Angestellten, Vertreter und Partner wie der Spyware-Hersteller Measurement Systems verfügt. Dieser sei im Laufe des Jahres als im US-Bundesstaat Arizona ansässiges Tochterunternehmen von Packet Forensics identifiziert worden. Letzteres verkauft Dienste zum Abhören von Kommunikation an die US-Regierung.
So sei der als Trustcor-Partner geführte Raymond Saulino in einem Artikel des Onlinemagazins Wired als Sprecher von Packet Forensics aufgetreten. Zudem habe Saulino den Spyware-Hersteller Measurement Systems im Bundesstaat Virginia registriert. Das Unternehmen hat demnach Spyware-SDK erstellt und App-Entwickler auf der ganzen Welt dafür bezahlt, diese zu integrieren.
Sicherheitsforscher hatten Apps mit dem entsprechenden Schadcode in Googles Play Store entdeckt. Sie sollen insgesamt auf rund 60 Millionen Geräten installiert gewesen sein. Google löschte die Apps daraufhin im März 2022 aus dem Play Store.
Auch eine Testversion des angeblich Ende-zu-Ende-verschlüsselten E-Mail-Dienstes MsgSafe.io des Unternehmens Trustcor soll die oben genannte Spyware enthalten haben. Die Ende-zu-Ende-Verschlüsselung wird zudem von Experten angezweifelt, die von der Washington Post befragt wurden. Sie gehen davon aus, dass Trustcor die E-Mail mitlesen kann.
Gefälschte TLS-Zertifikate?
Berichte, dass Trustcor auch sein in den Browsern integriertes Root-Zertifikat missbraucht haben sollte, gibt es bisher jedoch nicht. Mit diesen könnten beispielsweise gefälschte Zertifikate für Webseiten ausgestellt und so Machine-in-the-Middle-Angriffe (MITM) durchgeführt werden.
Forscher vermuten laut der Washington Post jedoch, dass die Zertifikate nur gegen hochrangige Ziele und nur für einen sehr kurzen Zeitraum eingesetzt werden. Eine Person, die mit der Arbeit von Packet Forensics vertraut ist, bestätigte, dass die Zertifikate auf diese Weise eingesetzt würden. Packet Forensics greife neben den TLS-Zertifikaten auch auf den E-Mail-Dienst von Trustcor zurück. Beides werden für die Telekommunikationsüberwachung im Auftrag der US-Regierung verwendet.
Dem widersprach die Rechtsberaterin des Unternehmens, Kathryn Tremel. Packet Forensics unterhalte keine Geschäftsbeziehungen zu Trustcor. Zu einer Geschäftsbeziehung in der Vergangenheit wollte sie jedoch nichts sagen, so der Bericht der Washington Post. Erst kürzlich hatte Packet Forensics einen 4,6-Millionen-Dollar-Vertrag mit dem Pentagon über "Datenverarbeitung, Hosting und zugehörige Dienste" geschlossen.
Nach der Veröffentlichung des Berichtes gab der Browserhersteller Mozilla Trustcor zwei Wochen Zeit, um zu den Vorwürfen Stellung zu nehmen. Das alternative und auf Sicherheit und Datenschutz fokussierte Android GrapheneOS hat bereits reagiert und das Zertifikat von Trustcor aus seinem aktuellen Release entfernt. Da die Zertifikate kaum verwendet würden, rechne man mit keinen Auswirkungen auf die Nutzererfahrung.
Chrome, Safari, Firefox: Die mysteriöse Firma, die in unseren Browsern steckt - Golem.de - Golem.de
Read More
No comments:
Post a Comment