Yahoo! expone su clave privada dentro de la extensión Axis para Chrome

Yahoo! acaba de anunciar su nuevo navegador Axis implementado como una extensión para Chrome, Firefox e Internet Explorer y no lo han estrenado precisamente bien: han dejado la clave privada para firmar la extensión dentro del propio paquete de la extensión de Chrome.

El australiano Nik Cubrilovic explicaba en su blog que al revisar el código encontró el fichero .pem, el certificado que usa Yahoo! para firmar su extensión y para que Chrome pueda comprobar su autenticidad.

El resultado es que con la clave privada cualquier atacante podría crear una extensión para Chrome y el navegador "confiaría" en ella creyendo que proviene de Yahoo!.

Para demostrar además la vulnerabilidad, Nik ha creado una extensión de prueba con una alerta en javascript firmada con este certificado privado. El código lo podéis encontrar en un repositorio en GitHub. Si lo probáis, veréis que al pinchar el enlace la extensión se instalará directamente en Chrome.

Imaginaros una extensión falsa que capture el tráfico web (incluidas las contraseñas) y que, por ejemplo, se instalara en los usuarios al falsificar la entrada DNS de la URL de actualización...

Comentarios