TECNOLODIA.- Yahoo se vio obligado a lanzar una nueva versión de su extensión “Axis” para Google Chrome, después de descubrir que el archivo original contenía una clave privada que permitía a cualquier persona firmar extensiones de manera digital en nombre de Yahoo. “Axis” es una nueva herramienta de búsqueda y navegación de Yahoo que fue liberada el pasado miércoles como una extensión para Google Chrome, Internet Explorer, Mozilla Firefox y Safari, así como en forma de aplicación independiente para dispositivos con iOS.
Sin embargo, mientras observaba el código fuente de la nueva extensión “Axis” para Google Chore, el hacker y blogero de seguridad Nik Cubrilovic descubrió un grave fallo de seguridad. Dicho fallo radicaba en que el código incluía la clave criptográfica privada utilizada por Yahoo para firmar la extensión. “Con el acceso al archivo certificado privado, cualquier atacante malicioso es capaz de crear una extensión falsa y hacer que Chrome la autentifique como proveniente directamente de Yahoo”, dijo Cubrilovic en un blog el jueves.
Las extensiones de Google Chrome vienen empacadas como archivos CRX, que son básicamente archivos ZIP firmados digitalmente. Todos los archivos CRX contienen una clave pública que es parte de un par de claves (pública-privada) único para cada desarrollador. La clave privada se utiliza para firmar la extensión, mientras que la clave pública es utilizada por el navegador para verificar la autenticidad de la firma. Las claves privadas deben mantenerse siempre en secreto debido a que estas permiten a los desarrolladores firmar digitalmente las nuevas extensiones o actualizar las extensiones viejas.
Un atacante puede enviar una aplicación falsamente firmada por Yahoo a cualquier navegador que tenga instalada la extensión “Axis”, mediante el uso de técnicas como la falsificación de DNS (Domain Name System/Sistema de Nombre de Dominio), dijo Cubrilovic. Google Chrome busca las actualizaciones automáticamente, así que si un atacante puede falsificar los DNS, obligaría al sistema a la instalación de una actualización de extensión firmada “ilegalmente” desde algún servidor bajo el control del atacante.
Por Carlos Ponte.
Fuente: computerworld.com