雅虎(Yahoo)於5月23日發布移動瀏覽器工具Yahoo! Axis,並以Google Chrome與Firefox擴展套件(插件)的形式進入PC瀏覽器。但其Chrome擴展套件所含的數字憑證卻出了問題,這使任何人都能以雅虎的名義發佈Chrome擴展套件。 該問題由澳洲博客Nik Cubrilovic所發現,Nik Cubrilovic表示,在安裝了Chrome版的Axis擴展套件之後,馬上就發現原始的軟件包裏包含了一個用來簽署擴展套件用的私有憑證檔案。他隨後用Javascript編寫並成功加載了另一個驗證概念程式——以雅虎的憑證簽署安裝的Chrome擴展套件。Nik Cubrilovic建議已安裝Axis插件的用戶,應該先把它刪除。Nik Cubrilovic表示,利用這個私有憑證可以偽造出來自雅虎的官方擴展套件,欺騙用戶安裝並收集用戶瀏覽器的瀏覽歷程、賬號、密碼及cookie等私密數據,然後專賣給商業機構牟利。這對用戶是非常危險的。 根據Nik Cubrilovic指出,雖然立即與雅虎報告此事,但卻一直沒得到回應。另外根據媒體報道,雅虎的發言人已經承認該問題並更新了Axis相關的所有軟件,包含Chrome、Firefox及IE所用的擴展套件及iPhone、iPad所用的應用程式。官方宣稱Nik Cubrilovic所發現的問題已經被解決。 |