Спустя несколько часов после выпуска компанией Yahoo веб-браузера Axis, выяснилось, что в сеть просочилась закрытая информация, которая ставит под угрозу безопасность пользователей и позволяет любому злоумышленнику создать вредоносный плагин под видом официального программного обеспечения Yahoo. Axis существует в виде приложения для плееров iPod touch, смартфонов iPhone и планшетов iPad и в виде расширения для "компьютерных" браузеров Chrome, Firefox, Internet Explorer и Safari. Австралийский предприниматель Ник Кубрилович (Nik Cubrilovic), который в прошлом году привлек внимание к проблемам cookies на Facebook, первым выявил проблемы с сертификатами и сообщил об этом в своем блоге. Он призвал пользователей воздержаться от загрузки Axis, пока не будут доступны исправления. Кубрилович просмотрел программный код расширения и обнаружил там приватный сертификат, который Yahoo использует для подписи приложений, чтобы подтвердить их подлинность. Злоумышленники могут использовать этот сертификат и поставлять вредоносные расширения для Chrome, якобы подписанные компанией Yahoo. Подобная оплошность разработчиков Yahoo дает злоумышленникам широкие возможности. В своем блоге Кубрилович написал: «Сертификат, который Yahoo! использовала для подписи расширений, проверяется Chrome для идентификации подлинности происхождения пакета. Имея доступ к файлу приватного сертификата, злоумышленник может создать мошенническое расширение, которое Chrome примет за расширение производства Yahoo. Наиболее очевидное применение такого сертификата состоит в том, что используя файл, вы можете создать поддельное расширение, которое собирает весь трафик, включая пароли, cookies сессий и т.д.» Представители Yahoo принесли извинения всем пользователям и удалили из программного кода закрытый ключ.
Источник