Yahoo diffonde per sbaglio la chiave di sicurezza privata dell’estensione Axis per Chrome

yahoo_axis


Come sapete, Yahoo ha rilasciato Axis anche sotto forma di estensione di Chrome. Si tratta di uno strumento per la ricerca visuale che si collega tra desktop e dispositivi mobili, ma purtroppo c'è un problema. Durante il lancio Yahoo si è lasciata sfuggire una chiave di sicurezza privata nella versione per Chrome che può permettere a chiunque di creare plugin malevoli mascherandoli da software ufficiali. Pessimo, pessimo inizio.
The Register riporta che Nik Cubrilovic ha rivelato l'errore sul suo blog spiegando che gli utenti non devono installare l'estensione "finché il problema non sarà chiarito". Nascosto nel codice sorgente dell'estensione di Axis per Chrome c'è un certificato criptato privato che permette a Yahoo di firmare l'app per dimostrare che è tutto regolare. Ma non dovrebbe essere visibile agli utenti. Ma dato che lo è, niente può fermare chi è in grado di farlo dal copiarlo e includerlo in applicazioni malevole, facendole così passare per buone.
Fortunatamente, Yahoo ha appena pubblicato l'estensione sostitutiva, il cui il certificato è invisibile.

[Fonte: Gizmodo USA]

Tags :