Mało jest wpadek tak spektakularnych jak to, co zrobiło dzisiaj Yahoo. Można paść ofiarą włamania. Można popełnić ciekawy błąd w kodzie. Można zapomnieć opłacić swoją domenę. Ale ujawnić we własnym produkcie swój klucz prywatny? To nie zdarza się często firmom tej kategorii.
Yahoo wprowadziło na rynek nowy produkt pod nazwą Axis. Axis reklamowany jest jako nowe narzędzie, zmieniające sposób przeszukiwania sieci. Nie wnikając niepotrzebnie w szczegóły produktu, jednym ze sposobów implementacji Axis dla użytkowników (oprócz aplikacji dla iPhona i iPada) są wtyczki do przeglądarek, w tym również do Google Chrome.
Bloger Nick Cubrilovic pobrał wtyczkę Axis do Chrome i zajrzał do jej kodu źródłowego. To, co znalazł w zasobie pod nazwą nano_client.pem wprawiło go w niemałe zdumienie. Trafił tam bowiem na klucz prywatny Yahoo, używany do podpisywania wtyczek tego producenta.
Klucz prywanty Yahoo (źródło: Nik Cubrilovic)
Każdy posiadacz tego klucza mógł przy jego użyciu stworzyć swoją własną wtyczkę do Chrome i podpisać ją tak, by została przez Chrome zweryfikowana jako prawidłowo podpisana wtyczka dostarczona przez Yahoo. Nik stworzył nawet przykładową wtyczkę, udającą produkt Yahoo, która przechodzi prawidłowo proces weryfikacji w Chrome. Cóż może być ciekawszego dla autora złośliwego oprogramowania, niż skutecznie podszyć się pod wiarygodne źródło? Zagrożenie stworzone przez niefrasobliwość Yahoo jest tym większe, że przestępcy coraz częściej tworzą złośliwe wtyczki do przeglądarek.
Na szczęście Yahoo szybko zareagowało i unieważniło ujawniony klucz. Jednak, jak w starym kawale, niesmak pozostał…
