Mozilla 和微软已经对 TrustCor 的三个根证书采取了行动,这些根证书现在不再被 Firefox 和 Edge 浏览器所信任。
整个事情的起因可以追溯到今年年初,当时卡尔加里大学(University of Calgary)教授 Joel Reardon 在一系列总下载量超过 4600 万次的 Android 应用程序中发现了有收集用户数据的恶意行为。
调查发现,这些软件中的恶意代码都是由 Measurement Systems 开发的,他们的 SDK 包含这些恶意代码,而且 Measurement Systems 还与一家为美国政府从事网络情报和情报拦截工作的承包商之间存在联系。
进一步调查还发现,Measurement Systems 和 TrustCor 的域名都是由 Vostrom Holdings 所注册,注册时间仅相隔一个月;这两个公司实体都有相同的公司管理人员;TrustCor 运营的 Msgsafe “加密” 电子邮件服务,包含 Measurement Systems 的间谍软件 SDK,而且该服务实际上是以明文形式发送电子邮件,用户的电子邮件一览无余,与 “加密” 毫无关系。
虽然目前没有证据表明 TrustCor 作为一家根证书颁发机构(CA)有违反相应政策或程序的行为,也没有证据表明他们曾错误地颁发了受信任的证书,但调查结果使人们对 TrustCor 作为公众信任的 CA 运营的能力产生了合理怀疑。
Mozilla 项目经理 Kathleen Wilson 就表示:
对 TrustCor 的担忧已经得到证实,TrustCor 继续成为 Mozilla Root Program 成员的风险高于对最终用户的好处。
正因如此,目前 Mozilla 和微软都将 TrustCor 列入了不再信任的名单中,其中 Firefox 将不信任的日期设定为 2022 年 11 月 30 日,而微软将该日期设定为 2022 年 11 月 1 日。Google 的 Chrome 和苹果的 Safari 暂时没有采取任何行动,不确定他们会在何时跟进。
虽然 Chrome 和 Safari 暂时没有跟进,但用户可以在浏览器中手动删除或选择不信任 TrustCor 证书(上图以 Safari 浏览器为例)。