Yahoo Privatschlüssel, Lecks erlaubt jedem Yahoo unterzeichnet Chrome Erweiterungen erstellen

2014-01-08  |  Comebuy News

Yahoo war gezwungen, eine neue Version seiner Achse-Erweiterung für Google Chrome nach Original einen privaten Schlüssel enthalten, die niemandem zum digitalen Signieren von Erweiterungen in Yahoo Namen erlaubt.

Comebuy Verwandte Artikel: Hands-on: Yahoos BrowserYahoo Achse synchronisiert Surfen zwischen iOS und DesktopOpenPGP JavaScript-Implementierung erlaubt Webmail EncryptionChrome Android ReviewWeb Add-ons gefährden "privates Surfen"

Achse ist eine neue Suche und browsing Tool von Yahoo, die am Mittwoch veröffentlicht wurde. Es steht für desktop-Computer, als eine Erweiterung für Google Chrome, Mozilla Firefox, Internet Explorer und Safari sowie für iOS-Geräte, als eigenständige app.

Aber beim Blick auf den Quellcode für die Achse der Google-Chrome-Erweiterung, Hacker und Sicherheit Blogger Nik Cubrilovic eine schwerwiegende Sicherheitslücke entdeckt--das Paket beinhaltet den privaten kryptografischen Schlüssel von Yahoo verwendet, um die Erweiterung zu unterzeichnen.

"Mit Zugriff auf die privaten Zertifikats-Datei [private Key] ein böswilliger Angreifer in der Lage ist, eine gefälschte Erweiterung erstellen, die Chrome authentifiziert wird, als von Yahoo," sagte Nik Cubrilovic in einem Blog-Post am Donnerstag.

Google Chrome Erweiterungen kommen als CRX-Dateien, die im wesentlichen signierten Archive in ZIP-Format gepackt.

Jede CRX-Datei enthält einen öffentlichen Schlüssel, der Teil eines öffentlich-privaten Schlüsselpaars einzigartig in seinem Schöpfer ist. Der private Schlüssel wird verwendet, um die Erweiterung zu unterzeichnen, während der öffentliche Schlüssel vom Browser verwendet wird, um die Signatur Authentizität zu überprüfen.

Da der private Schlüssel ermöglichen es Entwicklern, digital signieren neue Erweiterungen oder aktualisieren Sie ihre alten, sollten sie immer geheim gehalten werden.

Um die Auswirkungen des privaten Schlüssel Lecks zu beweisen, erstellt Cubrilovic eine Proof-of-Concept-Chrome-Erweiterung, die erscheint eine Warnmeldung auf jeder besuchten Webseite und mit Yahoos privaten Schlüssel signiert.

Ein Angreifer eine bösartige Yahoo-signiert-Erweiterung zu einem Browser schieben kann, mit der Achse Erweiterung installiert, mit Techniken wie DNS-spoofing, sagte Cubrilovic.

Google Chrome automatisch aktualisiert Prüfungen für Erweiterung-Updates durch Abfragen von Entwicklern angegebenen URLs. Wenn Angreifer DNS (Domain Name System) Antworten, die vom Browser fälschen können, können sie erzwingen, um ein Schurke Digital installieren signiert Erweiterung-Update von einem Server unter ihrer Kontrolle.

Yahoo bestätigt die Frage der Sicherheit. "Wir schnell gearbeitet um das Problem zu beheben und eine neue Chrome-Plugin ausgegeben haben,", sagte eine Sprecherin von Yahoo per e-Mail. "Benutzer, die unter der Woche von 18-21 Uhr Pacific Time am 23. Mai 2012, Yahoo! Achse auf Chrome heruntergeladen werden ermutigt, die vorherige Version deinstallieren und neu installieren die neue Version bei axis.yahoo.com."

« Back