Предприниматель из Австралии Ник Кубрилович, который привлек внимание к проблеме файлов cookie на Facebook в прошлом году, смог первым выявить проблемы с сертификатами в новом браузере Axis от Yahoo! и опубликовать в своем блоге сообщение об этом. Он считает, что пользователям пока что не стоит скачивать Axis.

Просмотрев программный код расширений, Кубрилович нашёл там приватный сертификат, используемый Yahoo! для подписи приложений в целях подтверждения их подлинности. Данным сертификатом могут пользоваться злоумышленники, поставляя вредоносные расширения для Chrome.

Такая недоработка разработчиков Yahoo! предоставляет мошенникам большие возможности. Самым главным является использование кода в создании приложений, которые смогут следить за активностью пользователя в сети.

В своем блоге Кубрилович указал, что из-за сертификата, который Yahoo! применяла для подписи расширений, злоумышленники смогу создавать приложения, которые Chrome не сможет отличить от расширений производства Yahoo! Как результат, посторонние люди смогут узнавать пароли пользователей, узнавать какие сайты они посещают и так далее.

От представителей Yahoo! уже поступили извинения всем пользователям, они также заменили материалы, которые не содержат в коде закрытых ключей.

captcha