Erste Sicherheitslücke in Yahoos Chrome-Erweiterung Axis gesichtet

Yahoos heute gestarteter Browser Axis weist einem Sicherheitsforscher zufolge eine ernste Lücke auf. Außerdem monieren Kritiker, dass die Nutzungsbedingungen noch fehlen. Auf der dafür vorgesehenen Seite steht als Platzhalter: „Die Nutzungsbedingungen kommen hierher.“

Die Sicherheitslücke meldet Nik Cubrilovic, der sich selbst als Blogger und Hacker beschreibt. Sie steckt nicht etwa in der iOS-Version des Browsers, sondern in der Chrome-Erweiterung. Cubrilovic zufolge gewährt diese Zugriff auf ihr privates Zertifikat. Wenn man es zusammen mit einer gefälschten Erweiterung nutze, lasse sich ein Paket zusammenstellen, das allen Traffic auffange, „einschließlich Passwörtern und Session-Cookies“.

Der Hacker führt aus: „Der einfachste Weg, um so etwas auf dem Gerät eines Opfers installiert zu bekommen, wäre eine gefälschte Update-URL. Will sich die Erweiterung das nächste Mal aktualisieren, lädt sie im Hintergrund die bösartige Erweiterung.“

„Diese Schwachstelle ist eigentlich ziemlich offensichtlich“, heißt es auch in dem Blogeintrag. „Jeder Entwickler, der mit der Verifikation von Chrome-Erweiterungen vertraut ist, hätte bei einem Blick auf den Quelltext das Problem der Zertifikatsdatei erkannt.“ Cubrilovic schreibt, er habe Yahoo kontaktiert, aber bisher keine Antwort erhalten.

Allerdings hat der zuständige Yahoo-Manager Ethan Batraski – oder jemand, der sich für ihn ausgibt – einen Kommentar zu Cubrilovics Blog verfasst. Man habe das Problem zur Kenntnis genommen und die Chrome-Erweiterung umgehend abgeschaltet. Der Schlüssel stehe bei Google nun auf einer schwarzen Liste. „Wir nehmen solche Probleme sehr ernst und werden rund um die Uhr weiterarbeiten, bis der Fehler behoben ist.“

[mit Material von Steven Musil, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.