Google Chrome i Android rezygnują z obsługi TrustCor w następstwie zagrożenia prywatności
Google ogłosiło, że zamierza zrezygnować z TrustCor Systems jako głównego organu certyfikacji (CA) dla swojej przeglądarki internetowej.
Gigant technologiczny powołał się na „utratę zaufania do jego zdolności do utrzymania tych podstawowych zasad i ochrony i zabezpieczenia użytkowników Chrome” Joel Reardon, profesor i badacz prywatności przestrzeni mobilnej na Uniwersytecie w Calgary, powiedział, że jego zespół „odkrył i ujawnił spyware SDK osadzony w aplikacjach, które inwazyjnie śledziły użytkowników”.
We wspólnej pracy z dziennikarzami śledczymi Wall Street Journal ustalono, że TrustCor został zarejestrowany w odstępie zaledwie miesiąca od firmy stojącej za SKD, znanej jako Measurement Systems, obie w Panamie.
Reardon zaznacza w swoim zawiadomieniu: „Aby było jasne, nie znalazłem żadnych dowodów na to, że TrustCor wydał zły certyfikat lub w inny sposób nadużył autorytetu, który posiada w zakresie podpisywania kodu, SMIME i walidacji domen… Być może identyczna własność TrustCor i Measurement Systems to zbieg okoliczności”.
Poza tym istnieje szereg niefortunnych, powiązanych zbiegów okoliczności, które doprowadziły firmy takie jak Microsoft i Mozilla do porzucenia TrustCor jako głównego dostarczyciela certyfikatów CA. Zmiana ma wejść w życie wraz z wprowadzeniem Chrome 111, który ma zostać wydany 7 marca 2023 roku, po wydaniu wersji beta około miesiąc wcześniej. Poprzednie wersje Chrome zdolne do otrzymywania aktualizacji komponentów również zostaną objęte zmianą.
Nie wiadomo, jak długo będziemy musieli czekać na zmianę, by trafiła ona na urządzenia z Androidem. W przeciwieństwie do Chrome’a dla komputerów stacjonarnych, który może być aktualizowany samodzielnie, certyfikat główny Androida jest aktualizowany jako część całego systemu operacyjnego, co prawdopodobnie spowoduje opóźnienie.