Fugas de Yahoo!! privado! la clave! en! Eje! Chrome! debut!

Yahoo! dio a conocer hoy su extensión para Chrome Eje - y accidentalmente se filtró la clave privada de seguridad que podría permitir a cualquiera crear plugins maliciosos se hacen pasar por software de Yahoo! oficial. El empresario australiano Nik Cubrilovic, quien el año pasado obtuvo previo aviso y por la identificación de las cookies de seguimiento de Facebook, reveló el error de certificado en su blog, y dijo que los usuarios no deben instalar la extensión "hasta que el asunto se aclara". Cubrilovic se asomó en el código fuente de la extensión y se encontró el certificado privado, lo que Yahoo! utiliza para firmar la solicitud para demostrar que es auténtica y sin alteraciones. El resultado, dice, es que un malhechor podría forjar una extensión maliciosa que ser verificada por el navegador web de Google como procedente de Yahoo! Hay todo tipo de ataques que podrían ser ejecutadas con una extensión falsa, la más obvia de ellas, como señala Cubrilovic, sería la de crear y firmar un capturador de tráfico para capturar la actividad de la víctima web. Él escribió: El archivo de certificado es utilizado por Yahoo! a firmar el paquete de extensión, que es usado por Chrome y la tienda web para autenticar que el paquete viene de Yahoo! Con el acceso al archivo de certificado privado que un atacante malicioso es capaz de crear una extensión de forjado que Chrome autenticará como de Yahoo! La más clara implicación es que con el archivo de certificado privado y una extensión falsa que puede crear un paquete falso que captura todo el tráfico web, incluidas las contraseñas, cookies de sesión, etc La forma más fácil de obtener esta instalado en la máquina de la víctima sería la parodia de DNS la URL de actualización. La próxima vez que la extensión de los intentos de ponerlo al día en silencio se instalará y ejecutará la extensión falsa. Se ha producido también una prueba de concepto de un ataque de suplantación de identidad y hasta por escrito instrucciones sobre cómo eliminar la extensión. Yahoo! se disculpó y envió un reemplazo de la extensión Web de búsqueda que no incluye la mitad privada del certificado de seguridad. El nuevo plugin, considerado como una búsqueda del navegador, también está disponible para Firefox, Internet Explorer, Safari y iPhone y iPads.