Компания Yahoo!, запустившая поисковое приложение-браузер Axis, столкнулась с неприятностью. Через несколько часов после запуска приложения оказалось, что в сеть попала конфиденциальная информация. А это ставит под серьезную угрозу безопасность пользователей и открывает поле действия для любого злоумышленника, который под маркой официального программного обеспечения Yahoo! может создавать вредоносные плагины.
Предприниматель из Австралии Ник Кубрилович, который уже однажды привлекал внимание к несовершенству кук на Facebook, снова оказался первым, кто выявил проблемы с сертификатами Yahoo! и рассказал об этом в свое блоге. Кубрилович проанализировал программный код расширений и обнаружил уникальный сертификат, при помощи которого Yahoo! подписывает свои приложения. Так злоумышленники, воспользовавшись этим сертификатом, смогут верифицировать любые вредоносные расширения для Chrome.
Такая серьезная ошибка Yahoo! дает большой простор для злоумышленников. Стоит отметить, что код может без проблем быть использован для создания приложений, которые будут следить за любой активностью пользователя в сети. А это говорит о том, что поддельное расширение может использоваться для сбора cookies сессий, паролей и другой важной для пользователя информации.
В своем блоге Кубрилович предостерегает пользователей от скачивания Axis до тех пор пока сложная ситуация не разрешится.
