Google, Apple e Mozilla bloqueiam espionagem do navegador do governo do Cazaquistão

27

Uma câmera de segurança destinada a uma tela de laptop.

Imagens de Getty | Thomas Jackson

Os principais fabricantes de navegador estão bloqueando o uso de um certificado raiz que o governo do Cazaquistão usou para interceptar o tráfego da Internet.

Mozilla e Google emitiram um anúncio conjunto hoje dizendo que "as empresas implantaram soluções técnicas no Firefox e no Chrome para bloquear a capacidade do governo do Cazaquistão de interceptar o tráfego da Internet dentro do país". Cada empresa está implantando "uma solução técnica exclusiva para seu navegador", disseram eles.

A Apple disse ao Ars que também está bloqueando a capacidade de usar o certificado para interceptar o tráfego da Internet.

O Cazaquistão informou que suspendeu o uso do certificado. Mas as ações dos fabricantes de navegadores podem proteger os usuários que já o instalaram ou impedir o uso futuro do certificado pelo governo do Cazaquistão.

Mozilla e Google disseram que tomaram a ação em resposta a "credível relatórios que os provedores de serviços de Internet no Cazaquistão exigiram que as pessoas no país baixassem e instalassem um certificado emitido pelo governo em todos os dispositivos e em todos os navegadores para acessar a Internet. "O certificado" permitiu que o governo decifrasse e lesse qualquer coisa. um usuário digita ou publica, incluindo interceptar suas informações de conta e senhas ", as empresas escreveram." Isso visava pessoas que visitavam sites populares como Facebook, Twitter e Google, entre outros. "

Certificado bloqueado após a instalação

Mozilla explicou em outro post que o certificado raiz do Cazaquistão "não será de confiança do Firefox, mesmo que o usuário o tenha instalado".

"Acreditamos que esta é a resposta apropriada porque os usuários no Cazaquistão não estão recebendo uma escolha significativa sobre a instalação do certificado e porque esse ataque prejudica a integridade de um mecanismo de segurança de rede crítico", disse a Mozilla. A empresa também incentivou os usuários da Internet no Cazaquistão a "pesquisar o uso de software de rede privada virtual (VPN) ou Navegador Tor, para acessar a Web ".

Similarmente, O Google disse que "o Chrome estará bloqueando o certificado que o governo do Cazaquistão exigiu que os usuários instalassem" e que "nenhuma ação é necessária para que os usuários sejam protegidos".

O Google adicionou o certificado para CRLSets, que o Chrome usa para "bloquear rapidamente os certificados em situações de emergência".

Além disso, o Google disse que "o certificado será adicionado a uma lista de bloqueio no código-fonte do Chromium e, portanto, deverá ser incluído em outros navegadores baseados no Chromium em breve."

A Mozilla não "toma ações como essa, mas proteger nossos usuários e a integridade da Web é a razão pela qual o Firefox existe", disse Marshall Erwin, diretor sênior de confiança e segurança da Mozilla.

A diretora de engenharia sênior do Chrome, Parisa Tabriz, disse que o Google "nunca tolerará qualquer tentativa, por qualquer organização – do governo ou não – de comprometer os dados dos usuários do Chrome".

Quando contatada pela Ars, a Apple informou que está bloqueando o certificado para que ele não possa ser usado para interceptar o tráfego da Internet, mesmo depois que o usuário o instalou.

"A Apple acredita que a privacidade é um direito humano fundamental e projetamos todos os produtos da Apple para proteger as informações pessoais", disse a Apple em um comunicado ao Ars e outros meios de comunicação. "Nós tomamos medidas para garantir que o certificado não é de confiança do Safari e nossos usuários estão protegidos contra esse problema." Isso abrange o Safari para iOS e MacOS, disse a Apple ao Ars.

Edge e Internet Explorer

A situação com a Microsoft é um pouco mais obscura.

Microsoft, o criador do Edge e do Internet Explorer, disse Motherboard que "A autoridade de certificação (CA) em questão não é uma autoridade de certificação confiável em nosso Programa Raiz Confiável". Isso significa que o certificado não será instalado por padrão, mas um usuário do navegador pode optar por instalá-lo.

No entanto, confiar no certificado não é suficiente para impedir que os usuários sejam espiados. Um Planeta Censurado relatório a partir de 23 de julho, que a Mozilla e o Google se referiram, "a CA não é de confiança dos navegadores por padrão e deve ser instalada manualmente por um usuário".

Mas os usuários da Internet no Cazaquistão "não podem acessar os sites afetados se não instalarem o certificado raiz para a CA falsa e permitirem a interceptação", disse o relatório.

A Microsoft não confiando no certificado pode tornar um pouco mais difícil para os usuários instalá-lo. Mas se a Microsoft não estiver bloqueando a capacidade de espionar os usuários depois que o certificado for instalado, eles não serão protegidos como os usuários de outros navegadores.

No lado positivo, a Microsoft está em processo de Comutação de borda para um back-end do Chromium, então Edge acabaria por obter a proteção incorporada no Chromium. Mas o Edge baseado em Chromium ainda está em beta.

Perguntamos à Microsoft como ela está lidando com o certificado do Cazaquistão e atualizaremos este artigo se obtivermos uma resposta.

AtualizarA Microsoft nos deu a mesma declaração que anteriormente da Motherboard, mas não deu resposta à nossa pergunta sobre se está fazendo alguma coisa para bloquear a capacidade de espionar os usuários depois que o certificado foi instalado.

Prez Kazakhstan: "Não há motivos para preocupações"

UMA História da Reuters em 7 de agosto disse que "o Cazaquistão suspendeu a implementação de um sistema de vigilância na Internet criticado por advogados como ilegal, com o governo descrevendo seu lançamento inicial como um teste".

As autoridades de segurança do Estado alegaram que estavam tentando proteger as pessoas no Cazaquistão de "ataques de hackers, fraudes on-line e outros tipos de ameaças cibernéticas", escreveu a Reuters.

O presidente do Cazaquistão, Kassym-Jomart Tokayev, "disse em um tweet que ele pessoalmente havia ordenado o teste, que mostrou que medidas de proteção 'não incomodariam os internautas do Cazaquistão"', escreveu a Reuters. "Não há motivos para preocupações", disse Tokayev.

O post do Mozilla / Google observou que esta "não foi a primeira tentativa do governo do Cazaquistão de interceptar o tráfego de Internet de todos no país".

As empresas escreveram:

Em 2015, o governo do Cazaquistão tentou ter um certificado raiz incluído no programa de armazenamento de raiz confiável da Mozilla. Depois que foi descoberto que eles pretendiam usar o certificado para interceptar dados do usuário, a Mozilla negou a solicitação. Pouco depois, o governo forçou os cidadãos a instalar manualmente seu certificado, mas essa tentativa falhou depois que as organizações tomaram medidas legais.

Fonte: Ars Technica