Axis pro Chrome obsahovalo nebezpečnou chybu

Společnost Yahoo byla donucena vydat novou verzi rozšíření Axis pro Google Chrome. Původní verze obsahovala klíč, který umožnil komukoliv digitálně podepisovat rozšíření jménem Yahoo.

Axis pro Chrome obsahovalo nebezpečnou chybu


Axis je nový nástroj pro vyhledávání od Yahoo, více se můžete dozvědět v našem článku. Je k dispozici pro stolní i přenosné počítače jako rozšíření pro prohlížeče Google Chrome, Mozilla Firefox, Internet Explorer a Safari. Pro zařízení se systémem iOS potom jako samostatná aplikace.

Nicméně Nik Cubrilovic při pohledu do zdrojového kódu Google Chrome Axis rozšíření objevil závažnou bezpečnostní chybu. Balíček obsahoval privátní šifrovací klíč využívaný společností Yahoo k podepisování rozšíření. Cubrilovic je hacker a bezpečnostní blogger. Na svém blogu Cubrilovic prozrazuje více: „S přístupem k privátnímu klíči může útočník vytvořit rozšíření, které bude Chrome autentizovat jako by bylo od Yahoo,“ napsal mimo jiné.

Rozšíření pro Google Chrome jsou distribuována jako zabalené soubory CRX, což jsou vlastně digitálně podepsané archivy typu ZIP. Každý soubor CRX obsahuje veřejný klíč svého tvůrce, který je částí dvojice unikátního páru soukromého a veřejného klíče. Soukromý klíč je využit k podepsání rozšíření, zatímco veřejný klíč je používán prohlížečem k ověření pravosti podpisu. Vzhledem k tomu, že soukromé klíče umožňují vývojářům digitálně podepisovat nové rozšíření nebo aktualizovat staré, měly by vždy zůstat v tajnosti.

Ve snaze napravit únik soukromého klíče vytvořil Cubrilovic ověření konceptu rozšíření pro Chrome, které zobrazí varování na každé navštívené stránce podepsané soukromým klíčem Yahoo.

Cubrilovic vysvětluje, že útočník je schopen dostat škodlivé rozšíření podepsané společností Yahoo do prohlížeče, jenž má nainstalované rozšíření Axis, a to využitím technik jako je například DNS spoofing.

Google Chrome automaticky ověřuje aktualizace rozšíření pomocí dotazu na URL specifikované vývojáři. Pokud útočníci dokážou zfalšovat odpovědi DNS získané od prohlížeče, mohou ho donutit nainstalovat digitálně podepsané rozšíření ze serveru, který je jejich kontrolou.

Společnost Yahoo bezpečnostní problém potvrdila. Mluvčí společnosti prostřednictvím e-mailu prozradila, že: „Společnost se snažila rychle vyřešit problém a vydat nové rozšíření pro Chrome. Uživatelům, kteří si stáhli rozšíření Yahoo Axis pro Chrome 23. května mezi 18. a 21. hodinou pacifického času (24. května mezi 3. a 6. hodinou ráno našeho času) se doporučuje odinstalovat předchozí verzi a nainstalovat novou ze stránky axis.yahoo.com.“

Úvodní foto: © Yahoo










Komentáře