2012年5月26日 星期六

Yahoo Axis 洩露私有憑證!


Yahoo Axis 洩露私有憑證!

用這個私有憑證可以假造出彷彿來自雅虎的擴充套件,然後用來蒐集瀏覽器的瀏覽歷程、帳號、密碼及cookie等私密資料。 

週三雅虎(Yahoo)發表行動瀏覽器工具Axis,並以Chrome及Firefox擴充套件的形式推向桌面環境。但其Chrome擴充套件所含的數位憑證卻出了問題,這可能讓任何人都能假冒雅虎名義發表Chrome擴充套件。

該問題由澳洲部落客Nik Cubrilovic所發現,Nik Cubrilovic表示,在安裝了Axis的Chrome擴充程式之後,馬上就發現到原始的軟體包裡包含了一個用來簽署擴充套件用的私有憑證檔案。

Nik Cubrilovic於是以Javascript加料成功試作另一個驗證概念程式 -- 以雅虎的憑證簽署安裝的Chrome擴充程式。Nik Cubrilovic建議已安裝Axis擴充程式的使用者,應該將它移除。Nik Cubrilovic表示,利用這個私有憑證可以假造出彷彿來自雅虎的擴充套件,然後用來蒐集瀏覽器的瀏覽歷程、帳號、密碼及cookie等私密資料。

根據Nik Cubrilovic指出,雖然立即與雅虎報告此事,但卻一直沒得到回應。另根據媒體報導,雅虎的發言人已經承認該問題並更新Axis相關的所有軟體,包含Chrome、Firefox及IE所用的擴充套件及iPhone、iPad所用的App程式,並已經緊急更換Axis擴充程式。(編譯/沈經)

轉載自《iThome