Mozilla dan Microsoft tidak mempercayai sertifikat TrustCor karena dicurigai menjalankan spyware rahasia

mengapa itu penting: Rantai kepercayaan CA membuat Web aman dan bisnis Internet senang. Namun, saat rantai terputus, Otoritas Sertifikat tiba-tiba dapat menjadi tamu yang tidak diinginkan di browser web paling populer.

Mozilla, Microsoft, dan kemungkinan pembuat browser lainnya telah mulai mengambil tindakan terhadap TrustCor, Otoritas Sertifikat (CA) yang mengeluarkan sertifikat root ke miliaran perangkat yang terhubung ke Internet. Menurut penyelidikan baru-baru ini dan kata-kata perusahaan sendiri, TrustCor sedang bekerja – atau telah bekerja – dengan entitas lain yang berbisnis di ruang spyware.

Sifat bisnis TrustCor yang berpotensi teduh terungkap dalam diskusi di milis Mozilla, di mana Joel Reardon, seorang profesor di University of Calgary, membagikan temuannya tentang SDK spyware yang tersembunyi di dalam beberapa aplikasi Android. Aplikasi ini telah diunduh lebih dari 46 juta kali dan telah menyertakan radar kamera kecepatan, aplikasi doa Muslim, pemindai QR, dan banyak lagi.

Pada awal November, Reardon mengungkapkan bahwa Sistem Pengukuran yang berbasis di Panama adalah perusahaan yang menciptakan SDK spyware. Investigasi selanjutnya mengungkapkan hubungan antara Sistem Pengukuran dan kontraktor pertahanan yang melakukan beberapa pekerjaan peperangan elektronik untuk pemerintah AS. Selain itu, Sistem Pengukuran tampaknya terkait dengan TrustCor, karena kedua perusahaan tersebut terdaftar di Panama dan berbagi pejabat perusahaan yang sama.

Selanjutnya, TrustCor mengoperasikan layanan enkripsi email bernama MsgSafe. Versi uji coba MsgSafe berisi satu-satunya versi spyware Android yang tidak disamarkan yang diketahui dibuat oleh Sistem Pengukuran. Perwakilan TrustCor bergabung dalam diskusi Mozilla, memberikan lebih banyak informasi tetapi tidak ada jawaban yang jelas tentang keterlibatan perusahaan dalam bisnis spyware.

Pada akhirnya, beberapa poin penting muncul: Sistem Pengukuran dan TrustCor memiliki beberapa hubungan, setidaknya hingga 2021, dan satu pengembang yang disewa oleh TrustCor memiliki akses ke versi kode sumber malware Android Sistem Pengukuran yang tidak disamarkan. Meskipun tidak ada bukti bahwa TrustCor menyalahgunakan situs CA-nya dengan mengeluarkan sertifikat TLS berbahaya, Mozilla mengatakan bahwa perusahaan tersebut belum menanggapi kekhawatirannya yang paling mendesak terkait kepercayaan TrusCor.

Jadi Mozilla memutuskan untuk menghapus sertifikat TrustCor dari browser Firefox mulai 30 November. Microsoft telah menetapkan tanggal tanpa kepercayaan untuk 1 November, ungkap Rachel McPherson, CEO di TrustCor, sementara Apple dan perusahaan browser lainnya akan segera menyusul.