Chrome, Safari und Firefox vertrauen den Zertifikaten von TrustCor Systems. Laut einem Bericht hat das Unternehmen jedoch Beziehungen zur US-Regierung und zu einem Spyware-Hersteller. Das könnte die Sicherheit von Webseitenaufrufen massiv gefährden.
Recherchen der Washington Post haben Zweifel an einem Unternehmen aufgeworfen, dass sicherheitskritische Zertifikate an Webseiten vergibt, um deren Vertrauenswürdigkeit nachzuweisen. Dem betroffenen Unternehmen TrustCor Systems vertrauen unter anderem die Browser Google Chrome, Safari und Firefox. Der Bericht legt nun unter anderem nahe, dass TrustCor Systems Beziehungen zu Vertragspartnern der US-Geheimdienste und zu einem Hersteller von Überwachungssoftware unterhält.
Wer eine Website im Browser aufruft, setzt dabei aufwändige Verschlüsselungsprozesse in Gang. Diese wiederum benötigen sogenannte TLS-Zertifikate, welche häufig von Drittunternehmen an Websites vergeben werden. Ihnen kommt damit eine kritische Rolle in der Sicherheit des Internets zu, denn sie signalisieren den Browsern, dass eine Website vertrauenswürdig ist. Missbrauch könnte dann zum Beispiel so aussehen, dass das Unternehmen Zertifikate an eine Website vergibt, die sich fälschlicherweise als Online-Banking-Portal einer Sparkasse ausgibt.
Fragwürdige Beziehungen
TrustCor Systems ist durch seine besondere Stellung als Root-Zertifizierungsstelle sogar in der Lage, andere Stellen zur Vergabe von Zertifikaten zu authorisieren und soll bereits an etwa 10.000 Webseiten Zertifikate vergeben haben. Das ist zunächst nichts Ungewöhnliches. Ungewöhnlich ist jedoch, dass das Unternehmen offenbar in Panama registriert ist und laut Bericht der Washington Post eine „identische Liste von Beamten, Bevollmächtigten und Partnern“ aufweist wie ein anderes Unternehmen, das Überwachungssoftware herstellt: Measurement Systems.
Das Spyware-Unternehmen fiel in der Vergangenheit dadurch auf, dass es Entwickler:innen dafür bezahlte, Überwachungscode in ihre Apps zu integrieren. Die betroffenen Apps, die um Funktionen zur Weitergabe von Telefonnummern, Email-Adressen und GPS-Daten modifiziert wurden, wurden nach Schätzung von Sicherheitsforscher:innen mehr als 60 Millionen Mal heruntergeladen. Measurement Systems wiederum gehört laut Bericht zu einem Anbieter von Abhördiensten aus Arizona namens Packet Forensics, der seit mehr als einem Jahrzehnt die US-Regierung beliefert.
Dafür, dass TrustCor tatsächlich die Zertifikatsvergabe missbraucht hätte, gibt es bislang keine Beweise. Wissenschaftler:innen zweier Universitäten, auf deren Forschung sich der Beitrag stützt, halten es aber durchaus für denkbar, dass das System gegen einzelne, besonders wichtige Ziele und über kurze Zeiträume eingesetzt werde. Laut einer anonymen Quelle mit Verbindungen zu Packet Forensics sei genau das bereit geschehen: Packet Forensics habe demnach den Zertifizierungsprozess von TrustCor genutzt, um Kommunikation für die US-Regierung abzufangen.
Unternehmen kann verschlüsselte Mails mitlesen
TrustCor bietet auch den Email-Dienst MsgSafe.io an, der vom Unternehmen als Ende-zu-Ende verschlüsselt beworben wird. Die Wissenschaftler:innen warnten jedoch, dass das Unternehmen die Mails lesen könne. Für eine echte Ende-zu-Ende Verschlüsselung müssten allein Nutzer:innen des Dienstes über die privaten Schlüssel verfügen, TrustCor generiere und verwalte die privaten Schlüssel jedoch selbst. Außerdem habe TrustCor in einer Testversion den Spyware-Code von Measurement Systems integriert, ein weiterer Überschneidungspunkt der beiden Unternehmen.
In Reaktion auf den Bericht hat Mozilla TrustCor aufgefordert, innerhalb von zwei Wochen Stellung zu beziehen. Unter anderem soll das Unternehmen über seine Beziehungen zu Measurement Systems und Packet Forensics aufklären und berichten, wie der Spyware-Code in seinen Email-Dienst gelangte. Von Packet Forensics hieß es bereits, dass es aktuell keine Geschäftsbeziehungen zu TrustCor unterhalte. Nicht sagen wollte das Unternehmen jedoch, ob es in der Vergangenheit Verbindungen gab.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires