El día de ayer Yahoo! lanzó oficialmente Axis, un navegador y buscador disponible como aplicación nativa en iOS, así como en forma de extensión para otros navegadores web como Google Chrome, Firefox e Internet Explorer. Sin embargo, su lanzamiento no inició con el pie derecho en cuanto a seguridad, pues en un grave descuido de la compañía, la extensión para Google Chrome fue publicada junto con el certificado de seguridad privado de Yahoo.
Un hacker conocido como Nik Cubrilovic publicó en su blog oficial este descubrimiento, mismo que permitiría a un atacante crear una extensión maligna que está autenticada con la clave privada de Yahoo.
«El archivo de certificado es utilizado por Yahoo! para firmar el paquete de extensiones, y que fue utilizado en Chrome y la WebStore para autenticar que el paquete es de Yahoo. Con acceso al archivo privado de certificado, un usuario malicioso es capaz de crear una extensión falsificada que Chrome reconocerá como si fuera desarrollada por Yahoo. La principal implicación es que con este archivo y una extensión falsa, es posible crear un paquete que capture todo el tráfico web, incluyendo contraseñas y las cookies de sesión.», explicó Cubrilovic.
Cubrilovic también publicó una demostración del problema al crear una extensión llamada «yahoo-spoof», la cual es un clon de Axis y está perfectamente autenticada con la clave de Yahoo. Eso sí, la compañía del buscador no tardó en responder y ya ha lanzado una actualización de la extensión de Axis que utiliza un nuevo certificado de seguridad, en tanto que el anterior ha sido revocado.
Debido al accidentado lanzamiento, la firma de seguridad Sophos ha recomendado a los usuarios esperar un poco antes de utilizar Axis, sólo por si en los próximos días no se dan a conocer nuevos problemas.
