blog.wlami.com

Virtuelles Zuhause von Wladislaw Mitzel

Yahoo veröffentlicht privaten Zertifikats-Schlüssel in Extension

Yahoo hat seine Browser-Erweiterung Yahoo! Axis veröffentlicht. Diese soll das Browsen im Web zu einem besseren Erlebnis machen, indem z.B. die Suche verbessert wird. Die Erweiterung gibt es für Chrome, Firefox und Apple-Geräte.

Derzeit würde ich jedoch davon abraten Yahoo!-Erweiterungen zu installieren bzw. sogar vorhandene entfernen. Denn wie Nik Cubrilovic in seinem Blog schreibt, hat Yahoo wohl den privaten Schlüssel seines Zertifikats mit veröffentlicht. Das ist aus Sicherheits-Sicht ein worst case.

Mit diesem Schlüssel kann  nun beliebige Malware signiert werden. Nik zeigt dies anhand einer Chrome-Extension. Er hat die Yahoo Erweiterung um eine Message-Box erweitert ( das ist harmlos, hier könnte aber beliebiger bösartiger Code enthalten sein) und mit dem Schlüssel signiert. Bei der anschließenden Installation in Chrome erscheint bei der manipulierte Extension Yahoo als Herausgeber. Mögliche Opfer haben keine Chance festzustellen, dass es sich um einen Angriff handelt.

Wer sich nun fragt, wie man solch eine bösartige Extension an den Mann bringen kann, sollte sich an folgenden Bericht erinnern. Damals wurde ein Angriff auf das CDMA-Netz ausgeführt um den Opfern ein Android-Update unterzujubeln. Genauso ist ein DNS-Angriff denkbar, womit ein Angreifer die Extension-Domain kapern kann. Im Zusammenspiel mit der Auto-Update Funktion in Chrome ist dies besonders gefährlich.

Hoffen wir mal, dass das Zertifikat schnellstmöglich entzogen wird, sodass keine allzu großen Schäden entstehen.

Kommentieren

Dieses Blog verwendet statische Kommentare. Kommentare werden also per Mail an mich geschickt und erscheinen anschließend im Blog. Eure E-Mail-Adresse wird nicht veröffentlicht.

Kommentar schreiben