Yahoo ha esposto un proprio certificato al debutto di Axis su Chrome

Yahoo Axis

Neppure il tempo d’approdare su Chrome e Axis – il nuovo browser visuale di Yahoo – è già diventato un grosso problema, per la società. Il debutto dell’estensione è coinciso con l’esposizione della chiave di crittografia privata che permette di controllare l’autenticità delle applicazioni distribuite da Yahoo. È un pessimo segnale.

In sintesi, entrando in possesso della chiave, qualunque sviluppatore potrebbe generare dei malware e distribuirli come fossero applicazioni originali di Yahoo dialogando col protocollo HTTPS. Un’enorme falla di sicurezza, che ha messo in pericolo gli utenti del Chrome Web Store. La società è dovuta correre immediatamente al riparo.

Per convalidare l’autenticità di un dominio occorre registrare un certificato, via Secure Sockets Layer (SSL), presso le autorità riconosciute. Una coppia di chiavi, pubblica e privata, permette di verificare la provenienza dell’applicazione. La chiave privata – non divulgabile – è quella che autentica la chiave pubblica integrata.

Esponendo la propria chiave privata, Yahoo permette a chiunque d’importarla sul proprio dominio e instaurare connessioni sicure o presunte tali con HTTPS. L’utente è convinto di connettersi a yahoo.com e di trasferire i propri dati ad Axis e altre applicazioni, mentre potrebbe inviare informazioni sensibili a terzi malintenzionati.

La risoluzione del problema è relativamente semplice, ma – trattandosi di un portale delle dimensioni di Yahoo – l’esposizione della chiave privata comporterà l’aggiornamento di numerose applicazioni. La società è costretta a revocare il certificato esistente e la coppia di chiavi associata, registrandone di conseguenza uno ex novo.

Considerando che Axis è «una vetrina» attraverso la quale Yahoo cerca di salvare la propria immagine, in prospettiva di un’acquisizione, l’errore è tanto più grave. Tre Chief Executive Officer (CEO) “bruciati” nell’ultimo anno, servizi interrotti o esternalizzati e licenziamenti fanno il resto. Pare un epilogo ingeneroso per Yahoo.

Via | Nik Cubrilovic

  • shares
  • Mail