Një raport nga The Washington Post ka ngritur dyshime për një autoritet të certifikimit rrënjësore I ashtëquajturi“root certificate” të përdorur nga Google Chrome, Safari, Firefox dhe kompani të tjera të teknologjisë të lidhura me inteligjencën amerikane. Kompania në fjalë, e quajtur TrustCor, punon si një autoritet i certifikimit rrënjësore për të vërtetuar besueshmërinë e faqeve të internetit – dhe ndërsa raporti nuk gjeti prova konkrete keqpërdorimi, ngriti pyetje të rëndësishme në lidhje me besueshmërinë e kësaj kompanie.
Autoritetet e certifikimit rrënjësore mbrojnë si nga falsifikimet ashtu edhe nga sulmet në uebsajt. Meqenëse autoritetet e certifikimit rrënjësore kanë gjithashtu fuqinë për t'u dhënë të tjerëve mundësinë për të dhënë certifikata, kjo ngre disa shqetësime nëse autoriteti është i lidhur me përpjekjet për mbikëqyrje ose malëare (një softuer që është krijuar posaçërisht për të prishur, dëmtuar ose fituar akses të paautorizuar në një sistem kompjuterik), pasi vë në pikëpyetje të gjithë sistemin e certifikimit.
The Post paraqet prova domethënëse që, të paktën, TrustCor është më shumë sesa një verifikim i drejtpërdrejtë. Të dhënat e regjistrimit në Panama të TrustCor tregojnë mbivendosje të konsiderueshme me një kompani spyëare me bazë në Arizona të lidhur me Packet Forensics, duke përfshirë një "profil identik oficerësh, agjentësh dhe partnerësh" të ndarë midis dy kompanive. Një kontraktor i njohur i mbikëqyrjes, Packet Forensics thuhet se ka shitur shërbime të përgjimit të komunikimit tek agjencitë qeveritare të SHBA për më shumë se 10 vjet.
Një tjetër prej partnerëve të TrustCor është Raymond Saulino, i cili, siç rezulton, është emëruar si zëdhënës i Packet Forensics në një artikull të Wired të vitit 2010. Saulino shfaqet sërish si një kontakt për Global Resource Systems, një kompani që menaxhonte mbi 175 milion adresa IP për Departamentin e Mbrojtjes të SHBA. Është ende e paqartë pse Pentagoni ia transferoi ato adresa IP agjencisë.
Pentagoni i tha The Post në atë kohë se ishte pjesë e një "përpjekjeje pilot" për të "identifikuar dobësitë e mundshme" dhe "parandalimin e përdorimit të paautorizuar të hapësirës së adresave IP të DoD". ”
Rezultati ngre shqetësime reale se TrustCor mund të ketë abuzuar me fuqinë e saj si autoritet certifikues për të çuar më tej operacionet e mbikëqyrjes në SHBA. Studiuesit e sigurisë kibernetike Joel Reardon nga Universiteti i Calgary dhe Serge Egelman nga Universiteti i Kalifornisë në Berkeley i thanë The Post se ata besojnë se TrustCor mund të përdorë aftësinë e tij "kundër objektivave me vlerë të lartë brenda një periudhe të shkurtër kohe".
Sipas The Post, TrustCor's ishte gjithashtu i lidhur me një kompani panameze të quajtur Measurement Systems. Kjo është e njëjta firmë që The Wall Street Journal raportoi në fillim të këtij viti që kishte paguar profesionistë për të përfshirë një segment të kodit të kompanisë në aplikacione të ndryshme për të mbledhur të dhëna. Spyëare - i cili u gjet në një aplikacion lutjesh muslimane, në një aplikacion për zbulimin e shpejtësisë, në një lexues të kodit QR dhe të tjerë – regjistron numrat e telefonit, adresat e emailit dhe vendndodhjet e përdoruesve. Google i hoqi këto aplikacione nga Play Store.
Reardon dhe Egelman zbuluan gjithashtu se një nga produktet e TrustCor, një aplikacion i koduar i quajtur MsgSafe.io, në fakt nuk është i koduar dhe e lejon MsgSafe të lexojë çdo mesazh të dërguar përmes aplikacionit. Kur The Post kërkoi adresën fizike të TrustCor, ajo u drejtua në një biznes të vogël local në Toronto. Media zbuloi gjithashtu se formulari i kontaktit me email në publikuar në faqen e saj të internetit nuk funksionon dhe numri i telefonit me bazë në Panama është shkëputur.
TrustCor mund të vazhdojë të certifikojë faqet e internetit (dhe t'u japë të tjerëve mundësinë për t'i certifikuar ato gjithashtu), sepse shfletuesit si Chrome, Safari dhe Firefox e njohin kompaninë si autoritetin e certifikimit rrënjësore “root certificate”.
Siç vërehet nga The Post, studiuesit e sigurisë kibernetike njoftuan Google, Apple dhe Mozilla për gjetjet e tyre, por nuk kanë marrë përgjigje.
Në një deklaratë për The Verge, Mozilla thotë se e sheh kërkimin "thellësisht shqetësues", por "ende nuk ka prova që me certifikatat e lëshuara nga TrustCor është abuzuar".
TrustCor i jepet afat deri më 22 nëntor 2022 për t'iu përgjigjur "kërkesës për informacion të mëtejshëm" në forumin publik të politikave të zhvillimit të sigurisë së Mozilla-.
“Në varësi të hetimeve të mëtejshme, zhvillimeve përkatëse të jashtme dhe përgjigjes së TrustCor, Mozilla synon të ndërmarrë hapat e nevojshëm për të mbrojtur përdoruesit tanë nga dëmtimet e mundshme,” shton kompania.
Apple dhe Google nuk iu përgjigjën menjëherë kërkesës së The Verge për koment.