Yahoo! har i den gångna veckan lanserat sitt nya plug-in ”Axis” till Google Chrome. I samband med lanseringen råkade man även läcka den nyckel, som är unik för Yahoo!, som autentiserar applikationer i Google Chrome. Den som får tag på säkerhetsnyckeln kan alltså skapa applikationer som Google Chrome uppfattar som legitima Yahoo!-applikationer. Det kan medföra problem för Yahoo!, Google och användarna.
Nik Cubrilovic, mannen som upptäcka Facebook’s spårnings-cookie, är även den som upptäckt att Yahoo! läckt säkerhetsnyckeln. Han skriver om händelsen på sin blogg och rekommenderar även användarna att inte installera applikationen så länge problemet inte är åtgärdat.
Cubrilovic granskade ”Axis” källkod och fann att säkerhetsnyckeln var tillgänglig i ett säkerhetscertifikat. Även om han, uppger han själv, inte har något intresse av att missbruka nyckeln, finns det säkerligen andra som gärna tar tillfället i akt. Cubrilovic menar att det går att skapa en mängd olika skadliga programvaror utifrån säkerhetsnyckeln. Den mest uppenbara, enligt honom, är att skapa en trafiklogger som övervakar och sparar internet trafik. På så sätt kan man få tillgång till användarnamn och lösenord från de användare som installerat applikationen.
[ad#Google Blogg]
Yahoo! har blivit varse om blundern och har bett om ursäkt för alla eventuella problem det har orsakat. De har även ersatt ”Axis” applikationen med en ny version som inte innehåller säkerhetsnyckeln.
Källa
