Запуск Axis закончился скандалом

 
 
 

24.05.2012

Запуск поискового приложения-браузера Axis компанией Yahoo! окончился скандалом. Спустя несколько часов после запуска проекта, выяснилось, что в сеть просочилась закрытая информация, которая ставит под угрозу безопасность пользователей и позволяет любому злоумышленнику создать вредоносный плагин под видом официального программного обеспечения Yahoo!.

Австралийский предприниматель Ник Кубрилович (Nik Cubrilovic), который в прошлом году привлек внимание к проблемам кук на Facebook, первым выявил проблемы с сертификатами и опубликовал сообщение об этом в своем блоге. Он призвал пользователей воздержаться от скачивания Axis, пока не будут доступны подробности. 

Кубрилович просмотрел программный код расширений и обнаружил там приватный сертификат, который Yahoo! использует для подписи приложений, чтобы подтвердить их подлинность. Злоумышленники могут использовать этот сертификат и поставлять вредоносные расширения для Chrome, якобы верифицированные Yahoo!

Подобная оплошность разработчиков Yahoo дает злоумышленникам широкие возможности. Наиболее очевидным является использование кода для создания приложений, следящих за активностью пользователя в сети интернет.

В своем блоге Кубрилович написал: «Сертификат, который Yahoo! использовала для подписи расширений, проверяется Chrome для аутентификации подлинности происхождения пакета. Имея доступ к файлу приватного сертификата, злоумышленник может создать мошенническое расширение, которое Chrome примет за расширение производства Yahoo!

Наиболее очевидное применение такого сертификата состоит в том, что используя файл, вы можете создать поддельное расширение, которое собирает весь трафик, включая пароли, cookies сессий и т.д.»

Представители Yahoo! принесли извинения всем пользователям и произвели замену материалов, не содержащих в коде закрытых ключей. 

Источник: http://www.searchengines.ru