Yahoo! revela su clave privada en la extensión Axis para Chrome

Yahoo! ha lanzado esta semana al mercado el nuevo navegador web Axis que puede funcionar como navegador o como extensión para desarrollos de terceros, como el Chrome de Google, donde se ha descubierto un grave error de programación al publicar Yahoo! su clave privada.

Esta clave se usa como certificado para firmar aplicaciones y autenticación de la legitimidad de su procedencia. Su conocimiento permitiría a un atacante crear una extensión maliciosa que el navegador, en este caso Chrome que la trataría como auténtica.

El error fue descubierto por el hacker Nik Cubrilovic que lo trasladó a Yahoo! y preparó una prueba de concepto usando el fallo para demostrar su vulnerabilidad.

La recomendación es obvia, no usar la extensión Axis para Chrome hasta que Yahoo! publique una nueva versión revocando su clave privada. El resto de extensiones de Axis y la aplicación cliente para Windows, Mac o iOS pueden utilizarse sin problema alguno.