/hvaonline/posts/list/13.html JForum - http://www.jforum.net https://chrome.google.com/webstore/) sử dụng để xác thực rằng extension đó do chính Yahoo! phát hành. Nếu có được tập tin chứng chỉ số bí mật này thì kẻ xấu có thể tạo ra một extension giả mạo nhưng lại được Chrome tin cậy.” Cubrilovic viết trong một bài phân tích trên blog của mình [1]. Vì không có mật khẩu nào bảo vệ việc truy cập tới khóa bí mật nên việc ký số diễn ra dễ dàng. Cubrilovic sau đó đã chứng minh và khai thác lỗ hổng này bằng cách tạo thử một extension giả mạo Axis được ký bởi khóa bí mật của Yahoo vừa tìm được ở trên và cài đặt thành công nó lên Chrome mà không gặp phải vấn đề gì. Anh ta cũng gửi lên trang GitHub mã nguồn của extension gốc của Axis và bản extension giả để mọi người so sánh [2]. “Ngụ ý dễ thấy nhất ở đây là với tập tin chứng chỉ số bí mật, bạn có thể tạo một extension giả mạo nhằm ghi nhận lại toàn bộ lưu lượng web, bao gồm các mật khẩu, cookie, v.v. Cách dễ dàng nhất để khiến nạn nhân cài đặt lên máy gói extension giả này là giả mạo DNS đối với đường dẫn (URL) cập nhật cho extension gốc. Vào lần cập nhật kế tiếp cho extension gốc, nó sẽ lặng lẽ cài đặt và chạy extension giả này.” Cubrilovic giải thích thêm. Trước sai lầm ngớ ngẩn này, một thành viên của nhóm phát triển Axis là Ethan Batraski phản hồi trên một vài website rằng Yahoo! đã gỡ bỏ extension trên Chrome, thu hồi chứng chỉ bị lộ và sẽ sớm phát hành extension mới thay thế. manthang Tham khảo: [1] http://nikcub.appspot.com/posts/yahoo-axis-chrome-extension-leaks-private-certificate-file [2] https://github.com/nikcub/yahoo-spoof [3] http://threatpost.com/en_us/blogs/yahoo-includes-private-key-source-file-axis-chrome-extension-052412 [4] http://www.h-online.com/security/news/item/Yahoo-released-private-certificate-with-new-extension-1583522.html ]]> /hvaonline/posts/list/42430.html#263963 /hvaonline/posts/list/42430.html#263963 GMT /hvaonline/posts/list/42430.html#263964 /hvaonline/posts/list/42430.html#263964 GMT