Erste Sicherheitslücke in Yahoos Chrome-Erweiterung Axis gesichtet

Yahoos heute gestarteter Browser Axis weist einem Sicherheitsforscher zufolge eine ernste Lücke auf. Außerdem monieren Kritiker, dass die Nutzungsbedingungen noch fehlen. Auf der dafür vorgesehenen Seite steht als Platzhalter: „Die Nutzungsbedingungen kommen hierher.“

Die Sicherheitslücke meldet Nik Cubrilovic, der sich selbst als Blogger und Hacker beschreibt. Sie steckt nicht etwa in der iOS-Version des Browsers, sondern in der Chrome-Erweiterung. Cubrilovic zufolge gewährt diese Zugriff auf ihr privates Zertifikat. Wenn man es zusammen mit einer gefälschten Erweiterung nutze, lasse sich ein Paket zusammenstellen, das allen Traffic auffange, „einschließlich Passwörtern und Session-Cookies“.

Der Hacker führt aus: „Der einfachste Weg, um so etwas auf dem Gerät eines Opfers installiert zu bekommen, wäre eine gefälschte Update-URL. Will sich die Erweiterung das nächste Mal aktualisieren, lädt sie im Hintergrund die bösartige Erweiterung.“


„Die Nutzungsbedingungen kommen hierher“, heißt es auf Yahoos Website zu Axis (Screenshot: News.com).

„Diese Schwachstelle ist eigentlich ziemlich offensichtlich“, heißt es auch in dem Blogeintrag. „Jeder Entwickler, der mit der Verifikation von Chrome-Erweiterungen vertraut ist, hätte bei einem Blick auf den Quelltext das Problem der Zertifikatsdatei erkannt.“ Cubrilovic schreibt, er habe Yahoo kontaktiert, aber bisher keine Antwort erhalten.

Allerdings hat der zuständige Yahoo-Manager Ethan Batraski – oder jemand, der sich für ihn ausgibt – einen Kommentar zu Cubrilovics Blog verfasst. Man habe das Problem zur Kenntnis genommen und die Chrome-Erweiterung umgehend abgeschaltet. Der Schlüssel stehe bei Google nun auf einer schwarzen Liste. „Wir nehmen solche Probleme sehr ernst und werden rund um die Uhr weiterarbeiten, bis der Fehler behoben ist.“


Axis zeigt unter iOS Ergebnisse direkt auf der Suchseite an – typischerweise direkt als Vorschau (Bild: Yahoo).

[mit Material von Steven Musil, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

12 Stunden ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

1 Tag ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

1 Tag ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

1 Tag ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

1 Tag ago

1 Million Dollar: Apple zahlt Prämie für Hack seiner Apple Intelligence Server

Ein neues Bug-Bounty-Programm beschäftigt sich mit Apples Private Cloud Compute. Prämien gibt es unter für…

2 Tagen ago