主要的浏览器原生信任一大堆证书颁发机构,其中有些非常不可靠:
谷歌的 Chrome 浏览器、苹果的 Safari、非盈利的 Firefox 和其他浏览器都允许 TrustCor Systems 公司充当所谓的根证书颁发机构,这是互联网基础设施中的一个重要位置,它可以保证网站不是假冒的,并引导用户无缝访问这些网站。
该公司在巴拿马的注册记录显示,该公司拥有与今年被确认为亚利桑那州 Packet Forensics 公司关联公司的间谍软件制造商完全相同的管理人员、代理和合作伙伴,该公司的公共合同记录和公司文件显示,十多年来,该公司一直向美国政府机构出售通信拦截服务。
[…]
在早前的间谍软件事件中,卡尔加里大学的研究人员乔尔-里尔登(Joel Reardon)和加州大学伯克利分校的塞尔日-埃格尔曼(Serge Egelman)发现,一家巴拿马公司 Measurement Systems 一直在付钱给开发人员,让他们在各种无害的应用程序中加入代码,以记录和传输用户的电话号码、电子邮件地址和确切位置。据他们估计,这些应用程序被下载了 6000 多万次,其中包括 1000 万次下载穆斯林祈祷应用程序。
根据域名历史记录,Measurement Systems 的网站由 Vostrom Holdings 注册。根据弗吉尼亚州的记录,Vostrom 于 2007 年提交文件,以 Packet Forensics 的名义开展业务。另一份州档案显示,Measurement Systems 是由 Saulino 在弗吉尼亚州注册的。
Reardon 提供了更多详细信息。
科里-多克托罗(Cory Doctorow)很好地解释了背景和一般安全问题。
修改补充(11/10):Slashdot 讨论
你的反应是: