Browser hebeln kasachische Spionage aus

Das Browser-Zertifikat ermöglicht, sensible Inhalte mitzulesen und Einfluss darauf zu nehmen, welche Webseiten überhaupt abrufbar sind. Zunächst kündigten Google und Mozilla an, das staatlich verordnete Zertifikat in ihren Browsern Firefox und Chrome zu blockieren. Danach schloss sich Apple mit seinem Safari-Browser dem Boykott an. Auch in dem Open-Source-Projekt Chromium wird die Installation der staatlich geförderten Malware unterbunden, so dass auch die Browser Brave, Opera und Microsoft Edge das Zertifikat aushebeln, teilte die Bürgerrechtsorganisation EFF am Donnerstag in San Francisco mit.

"Handeln müssen"

Google erklärte, nach glaubwürdigen Berichten seien kasachische Bürger verpflichtet worden, ein von der Regierung ausgestelltes Zertifikat auf allen Geräten und in jedem Browser herunterzuladen und zu installieren. „Dieses Zertifikat ermöglichte es der Regierung, alles zu entschlüsseln und zu lesen, was ein Benutzer eingibt oder veröffentlicht, einschließlich des Abfangens seiner Kontoinformationen und Passwörter“, hieß es seitens Google. Vor diesem Hintergrund habe man handeln müssen.

Ein Bericht von Censored Planet, einem Projekt an der University of Michigan, vom Juli besagt, dass das Abfangen der Daten erstmals am 17. Juli entdeckt wurde. Mindestens 37 Domänen seien betroffen, darunter Online-Netzwerke wie Twitter, Instagram und Facebook sowie Google.

Laut Mozilla  hat der autoritäre zentralasiatische Staat im Jahr 2015 „versucht, ein Root-Zertifikat in das vertrauenswürdige Root Store Programm von Mozilla aufzunehmen“. Das Unternehmen erklärte, dass Firefox dem Zertifikat künftig auch dann nicht vertraut, wenn Nutzer es manuell installieren. Beim Besuch einer Webseite, die mit dem Zertifikat antwortet, werde ihnen eine Fehlermeldung angezeigt, die darauf hinweist, dass dieses nicht vertrauenswürdig sei.