Yahoo Leaks Privater Schlüssel, erlaubt jedem, Yahoo-signierte Chrome-Erweiterungen zu erstellen

Yahoo musste eine neue Version seiner Axis-Erweiterung für Google Chrome veröffentlichen, nachdem die ursprüngliche einen privaten Schlüssel enthielt, der es jedem erlaubte Erweiterungen im Namen von Yahoo digital signieren.

Axis ist ein neues Such- und Browser-Tool von Yahoo, das am Mittwoch veröffentlicht wurde. Es ist für Desktop-Computer als Erweiterung für Google Chrome, Mozilla Firefox, Internet Explorer und Safari sowie für iOS-Geräte als Standalone-App verfügbar.

Allerdings bei der Betrachtung des Quellcodes für Google Der Chrome-Axer-Erweiterung, Hacker und Sicherheits-Blogger Nik Cubrilovic entdeckte einen schwerwiegenden Sicherheitsfehler - das Paket enthielt den privaten kryptografischen Schlüssel, mit dem Yahoo die Erweiterung signierte.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"Mit dem Zugriff auf die private Zertifikatsdatei [privater Schlüssel] kann ein böswilliger Angreifer eine gefälschte Erweiterung erstellen, die von Chrome als von Yahoo authentifiziert wird", sagte Nik Cubrilovic am Donnerstag in einem Blogbeitrag.

Google Chrome-Erweiterungen kommen gepackt als CRX-Dateien, die im Wesentlichen digital signierte Archive im ZIP-Format sind.

Jede CRX-Datei enthält einen öffentlichen Schlüssel, der Teil eines Private-Public-Schlüsselpaares ist, das für seinen Ersteller einzigartig ist. Der private Schlüssel wird zum Signieren der Erweiterung verwendet, während der öffentliche Schlüssel vom Browser verwendet wird, um die Authentizität der Signatur zu überprüfen.

Da private Schlüssel es Entwicklern ermöglichen, neue Erweiterungen digital zu signieren oder ihre alten zu aktualisieren, sollten sie immer geheim gehalten werden .

Um die Auswirkungen des privaten Schlüssellecks zu beweisen, hat Cubrilovic eine Proof-of-Concept-Chrome-Erweiterung erstellt, die auf jeder besuchten Website eine Warnung anzeigt und sie mit dem privaten Schlüssel von Yahoo signiert.

Ein Angreifer kann a Yahoo-signierte bösartige Erweiterung zu einem Browser, der die Axis-Erweiterung installiert, mithilfe von Techniken wie DNS-Spoofing, sagte Cubrilovic.

Google Chrome sucht automatisch nach Erweiterungsupdates durch Abfrage von Update-URLs von Entwicklern angegeben. Wenn Angreifer die vom Browser empfangenen DNS-Antworten (Domain Name System) fälschen können, können sie die Installation eines Rogue-digital signierten Erweiterungsupdates von einem Server unter ihrer Kontrolle erzwingen.

Yahoo hat das Sicherheitsproblem bestätigt. "Wir haben schnell an der Lösung des Problems gearbeitet und ein neues Chrome-Plug-in veröffentlicht", sagte eine Yahoo-Sprecherin per E-Mail. "Benutzer, die Yahoo! Axis in Chrome zwischen dem 21. Mai 2012 und 18.00 Uhr Pacific Time heruntergeladen haben, sollten die vorherige Version deinstallieren und die neue Version unter axis.yahoo.com installieren."