Google, Mozilla, Apple blokkeren het root CAcertificaat van Kazachstan om spionage te voorkomen

Cyber security Envicom todayaugustus 21, 2019 16

Background
share close

Om hun gebruikers in Kazachstan te beschermen tegen overheidstoezicht, kwamen Google, Apple en Mozilla vandaag eindelijk naar voren en blokkeerden Kazachstan’s door de overheid uitgegeven root CA-certificaat binnen hun respectieve webbrowsersoftware.

Vanaf vandaag zien Chrome-, Safari- en Firefox-gebruikers in Kazachstan een foutmelding waarin staat dat het “Qaznet Trust Network” -certificaat niet moet worden vertrouwd bij een poging toegang te krijgen tot een website die reageert met het door de overheid uitgegeven certificaat.

Met het betreffende rootcertificaat, gelabeld als “vertrouwd certificaat” of “nationaal veiligheidscertificaat”, indien geïnstalleerd, kunnen ISP’s de gecodeerde HTTPS- en TLS-verbindingen onderscheppen, bewaken en decoderen, waardoor de overheid haar 18 miljoen mensen en censor kan bespioneren inhoud.

rootcert KAZACHSTAN

Nadat het certificaat was geïnstalleerd, kon de Kazachse regering alles decoderen en lezen wat een gebruiker die populaire sites bezoekt, waaronder Facebook, Twitter en Google, onder andere typen of berichten, inclusief het onderscheppen van hun accountgegevens en wachtwoorden.

“Wanneer een gebruiker in Kazachstan het rootcertificaat installeert dat door zijn ISP wordt verstrekt, kiezen ze ervoor om een CA te vertrouwen die geen regels hoeft te volgen en voor iedereen een certificaat voor een website kan uitgeven,” verklaarde Mozilla in een gepubliceerde blogpost vandaag.

“Dit maakt het onderscheppen en decoderen van netwerkcommunicatie tussen Firefox en de website mogelijk, ook wel een Monster-in-the-Middle (MITM) -aanval genoemd.”

Door de installatie van het aangepaste root-CA-certificaat kan de overheid niet alleen de online activiteiten van haar burgers controleren, maar loopt ze ook het risico op social engineering-aanvallen als een kans voor hackers om gebruikers te misleiden om een kwaadaardig rootcertificaat te installeren van onofficiële websites en bronnen .

Na wereldwijde kritiek te hebben ondervonden, beschreef de Kazachse regering de initiële uitrol van het certificaat als een test voor het monitoren van cyberdreigingen en gaf vervolgens haar plannen op om het internetverkeer van burgers te onderscheppen.

“We tolereren nooit een poging van welke organisatie dan ook. Overheid of anderszins – om gegevens van Chrome-gebruikers in gevaar te brengen. We hebben bescherming tegen dit specifieke probleem geïmplementeerd en zullen altijd actie ondernemen om onze gebruikers over de hele wereld te beveiligen,” zei Parisa Tabriz, Senior technisch directeur, Chrome.

“Gebruikers hoeven geen actie te ondernemen om te worden beschermd. Bovendien zal het certificaat worden toegevoegd aan een blokkeerlijst in de Chromium-broncode en moet het daarom te zijner tijd in andere Chromium-gebaseerde browsers worden opgenomen,” zei Google.

Hoewel Apple nog geen blogpost heeft gepubliceerd, heeft een woordvoerder van het bedrijf contact opgenomen met The Hacker News om te bevestigen dat zijn Safari-webbrowser ook het door de overheid uitgegeven basis-CA-certificaat blokkeert.

Apple gelooft dat privacy een fundamenteel mensenrecht is en we ontwerpen elk Apple-product vanaf het begin om persoonlijke informatie te beschermen. We hebben actie ondernomen om ervoor te zorgen dat het certificaat niet vertrouwd wordt door Safari en onze gebruikers worden beschermd tegen dit probleem”, zegt Apple vertelde The Hacker News via een e-mail.

Dit is niet de eerste keer dat de regering van Kazachstan het internetverkeer van haar burgers onderschept.

In 2015 probeerde de overheid een rootcertificaat op te nemen in het vertrouwde root store-programma van Mozilla, maar het bedrijf weigerde het verzoek zodra werd ontdekt dat de regering van Kazachstan van plan was om dat certificaat te gebruiken om gebruikersgegevens te onderscheppen.

Zowel Google als Mozilla moedigen u aan om het root certificaat van de overheid van Kazachstan van uw apparaten te verwijderen als u het al hebt geïnstalleerd en uw wachtwoorden voor elk van uw online accounts onmiddellijk te wijzigen.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *