Erste Sicherheitslücke in Yahoos Chrome-Erweiterung Axis gesichtet

Dem Entdecker zufolge handelt es sich um ein eigentlich offensichtliches Problem mit dem Zertifikat. Es beschränkt sich auf diesen Browser. Ais ist seit heute als Browser für iOS und als Erweiterung für Chrome, Firefox, IE sowie Safari verfügbar.

von Florian Kalenda am , 18:07 Uhr

Yahoos heute gestarteter Browser Axis weist einem Sicherheitsforscher zufolge eine ernste Lücke auf. Außerdem monieren Kritiker, dass die Nutzungsbedingungen noch fehlen. Auf der dafür vorgesehenen Seite steht als Platzhalter: „Die Nutzungsbedingungen kommen hierher.“

Logo Yahoo Axis

Die Sicherheitslücke meldet Nik Cubrilovic, der sich selbst als Blogger und Hacker beschreibt. Sie steckt nicht etwa in der iOS-Version des Browsers, sondern in der Chrome-Erweiterung. Cubrilovic zufolge gewährt diese Zugriff auf ihr privates Zertifikat. Wenn man es zusammen mit einer gefälschten Erweiterung nutze, lasse sich ein Paket zusammenstellen, das allen Traffic auffange, „einschließlich Passwörtern und Session-Cookies“.

Der Hacker führt aus: „Der einfachste Weg, um so etwas auf dem Gerät eines Opfers installiert zu bekommen, wäre eine gefälschte Update-URL. Will sich die Erweiterung das nächste Mal aktualisieren, lädt sie im Hintergrund die bösartige Erweiterung.“

"Die Nutzungsbedingungen kommen hierher", heißt es auf Yahoos Website zu Axis (Screenshot: News.com).
„Die Nutzungsbedingungen kommen hierher“, heißt es auf Yahoos Website zu Axis (Screenshot: News.com).

„Diese Schwachstelle ist eigentlich ziemlich offensichtlich“, heißt es auch in dem Blogeintrag. „Jeder Entwickler, der mit der Verifikation von Chrome-Erweiterungen vertraut ist, hätte bei einem Blick auf den Quelltext das Problem der Zertifikatsdatei erkannt.“ Cubrilovic schreibt, er habe Yahoo kontaktiert, aber bisher keine Antwort erhalten.

Allerdings hat der zuständige Yahoo-Manager Ethan Batraski – oder jemand, der sich für ihn ausgibt – einen Kommentar zu Cubrilovics Blog verfasst. Man habe das Problem zur Kenntnis genommen und die Chrome-Erweiterung umgehend abgeschaltet. Der Schlüssel stehe bei Google nun auf einer schwarzen Liste. „Wir nehmen solche Probleme sehr ernst und werden rund um die Uhr weiterarbeiten, bis der Fehler behoben ist.“

Axis zeigt unter iOS Ergebnisse direkt auf der Suchseite an - typischerweise direkt als Vorschau (Bild: Yahoo).
Axis zeigt unter iOS Ergebnisse direkt auf der Suchseite an – typischerweise direkt als Vorschau (Bild: Yahoo).

[mit Material von Steven Musil, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Bildergalerie

ZDNet.de bei Google Currents

zur Bildergalerie

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Internet, Mobil, Mobile, Security-Praxis, Software, Suchmaschine, Yahoo

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Erste Sicherheitslücke in Yahoos Chrome-Erweiterung Axis gesichtet

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *