Опасный Axis

Спозиционированный как «нового типа» браузер, Axis от компании Yahoo оказался опасным. Не успел он проработать и пары часов, как разнеслась весть о том, что он «пропускает» закрытую информацию. То есть личная информация пользователей не защищена в новом приложении.

А первым установил эту погрешность всё тот же Ник Кубрилович – предприниматель из Австралии, который уже участвовал в скандале из-за cookies-файлов в Фейсбуке в прошлом году. Блог пользователя пополнился записью о проколе разработчиков сразу после его обнаружения.

Кубрилович так расстарался, что своими описаниями даже подсказал злоумышленникам, которые сами бы не догадались, что программный код расширений приложения имеет приватный сертификат, который Яху использует, чтобы подписывать приложения, подтверждая подлинность происхождения пакета. Так что с помощью этого сертификата можно распространять «вредные» расширения, которые браузер не сможет отличить от истинных.

Такой промах разработчиков на самом деле весьма перспективен для мошенников. Ведь именно создание расширений, которые станут собирать трафик пользователей с их паролями, куками и пр. и является самым заманчивым для «злодеев».

Дотошный пользователь выступил с призывом об отказе от скачивания нового приложения, пока ситуаций не прояснится. А представители поисковой системы произвели замену материалов, в коде которых не было закрытых ключей, и извинились перед пользователями.

Leave a Reply