[HVA News] – Yahoo để lộ khóa bí mật trong extension Axis cho Chrome


Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42430.hva

(HVA News) – Dù chỉ mới thông báo phát hành một trình duyệt mới có tên Axis vào hôm nay (24/5), thì gần như ngay lập tức một nhà nghiên cứu bảo mật đã phát hiện ra một lỗi nghiêm trọng khi tập tin mã nguồn của chương trình này có chứa khóa bí mật (private key) của Yahoo. Điều này cho phép kẻ tấn công có thể tạo ra một phần mở rộng (extension) độc hại mà trình duyệt lại tin tưởng vì nó được ký số (signing) bởi khóa bí mật hợp lệ của Yahoo!

Axis là một trình duyệt chạy độc lập trên các thiết bị di động như iPhone, iPad và cũng có các phiên bản dạng phần mở rộng cho Firefox, Chrome, Safari và Internet Explorer. Tính năng nổi bật được Yahoo quảng cáo là khi người dùng đang gõ vào ô tìm kiếm thì nó sẽ cố gắng đoán trước những từ khóa mà người dùng có thể muốn tìm và hiển thị các hình ảnh thu nhỏ của những kết quả tương ứng.

Nhưng điều đáng chú ý nhất lại là chỉ trong vài giờ sau khi Axis được phát hành, một cây viết và cũng là một hacker có tên Nik Cubrilovic đã thông báo rằng trong tập tin mã nguồn của phiên bản mở rộng cho Chrome có chứa khóa bí mật PGP được Yahoo dùng để ký lên tập tin này. Khóa cần được giữ bí mật tuyệt đối này đi cặp với một khóa công khai (public key) khác được trình duyệt sử dụng để kiểm tra chữ ký số của extension đều có trong tập tin chứng chỉ số (với định dạng .PEM) đi kèm với gói extension.

“Tập tin chứng chỉ số này được Yahoo! dùng để tạo chữ ký số cho extension cũng là tập tin được trình duyệt Chrome và Web Store (https://chrome.google.com/webstore/) sử dụng để xác thực rằng extension đó do chính Yahoo! phát hành. Nếu có được tập tin chứng chỉ số bí mật này thì kẻ xấu có thể tạo ra một extension giả mạo nhưng lại được Chrome tin cậy.” Cubrilovic viết trong một bài phân tích trên blog của mình [1]. Vì không có mật khẩu nào bảo vệ việc truy cập tới khóa bí mật nên việc ký số diễn ra dễ dàng.

Cubrilovic sau đó đã chứng minh và khai thác lỗ hổng này bằng cách tạo thử một extension giả mạo Axis được ký bởi khóa bí mật của Yahoo vừa tìm được ở trên và cài đặt thành công nó lên Chrome mà không gặp phải vấn đề gì. Anh ta cũng gửi lên trang GitHub mã nguồn của extension gốc của Axis và bản extension giả để mọi người so sánh [2].

“Ngụ ý dễ thấy nhất ở đây là với tập tin chứng chỉ số bí mật, bạn có thể tạo một extension giả mạo nhằm ghi nhận lại toàn bộ lưu lượng web, bao gồm các mật khẩu, cookie, v.v. Cách dễ dàng nhất để khiến nạn nhân cài đặt lên máy gói extension giả này là giả mạo DNS đối với đường dẫn (URL) cập nhật cho extension gốc. Vào lần cập nhật kế tiếp cho extension gốc, nó sẽ lặng lẽ cài đặt và chạy extension giả này.” Cubrilovic giải thích thêm.

Trước sai lầm ngớ ngẩn này, một thành viên của nhóm phát triển Axis là Ethan Batraski phản hồi trên một vài website rằng Yahoo! đã gỡ bỏ extension trên Chrome, thu hồi chứng chỉ bị lộ và sẽ sớm phát hành extension mới thay thế.

manthang.

Tham khảo:
[1] http://nikcub.appspot.com/posts/yahoo-axis-chrome-extension-leaks-private-certificate-file
[2] https://github.com/nikcub/yahoo-spoof
[3] http://threatpost.com/en_us/blogs/yahoo-includes-private-key-source-file-axis-chrome-extension-052412
[4] http://www.h-online.com/security/news/item/Yahoo-released-private-certificate-with-new-extension-1583522.html

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s