Yahoo heeft met zijn nieuwe browser-plug-in Axis per ongeluk de private key meegeleverd die werd gebruikt om de extensie te ondertekenen. Als gevolg van de fout kon iedereen rommelen met de extensie en deze toch authentiek doen lijken.
Inmiddels is de extensie uit de Chrome Web Store verwijderd, al kan hij wel nog via de website van Yahoo worden geïnstalleerd. Beveiligingsonderzoeker Nik Cubrilovic ontdekte het beveiligingsprobleem. In het meegeleverde bestand 'nano_client.pem' was een 4096bit-private-key van Yahoo meegeleverd.
Normaliter hoort alleen de eigenaar van een sleutel over de private key te beschikken; de rest van de wereld mag enkel de public key te weten komen. Met de private key in bezit kan een kwaadwillende zijn eigen Chrome-extensie in elkaar knutselen en het doen overkomen alsof die van Yahoo afkomstig is.
Als bewijs maakte Cubrilovic een gewijzigde versie van de plug-in, die hij succesvol wist te ondertekenen met de privésleutel. Google heeft de sleutel inmiddels op een zwarte lijst gezet, schrijft Cnet. Het is onduidelijk of de private key ook nog voor andere doeleinden werd gebruikt dan voor het ondertekenen van de plug-in, maar dat lijkt onwaarschijnlijk.
De ontdekking komt kort nadat Yahoo Axis presenteerde. Axis is een plug-in voor Chrome en Firefox, en een stand-alone-app voor de iPad en iPhone, waarmee gebruikers kunnen zoeken via Yahoo. Voor zover bekend zijn de andere extensies en apps niet getroffen door een probleem met de privésleutel.
Afbeelding: Nik Cubrilovic