En lo que puede ser considerado como una importante metedura de pata por parte de la conocida empresa global de medios, Yahoo! ha publicado accidentalmente su clave privada dentro de la extensión para el navegador Chrome de su nuevo producto, Axis.
Axis es la nueva apuesta de Yahoo! con forma de navegador tanto para sistemas de escritorio como para dispositivos móviles como el iPad o el iPhone de Apple. Asimismo también se han lanzado extensiones para otros navegadores como Chrome, Firefox, Safari o Internet Explorer.
Es precisamente en una de estas extensiones (concretamente la de Chrome) donde el investigador Nik Cubrilovic se encontró con una sorpresa cuando revisaba el código fuente: nada más y nada menos que el archivo del certificado privado de la empresa.
Este certificado es el que usan empresas como Yahoo! para firmar sus aplicaciones, en este caso la extensión para el navegador Chrome, y que luego es usado para autentificar que esta aplicación proviene realmente de Yahoo! Con esta clave, cualquiera podría engañar al navegador Chrome y a cualquier otro programa que acepte aplicaciones firmadas por Yahoo! para que se identifique como legítima.
En el peor de los escenarios, si esta clave privada fuera usada por alguien con malas pretensiones, podría programar una extensión con fines maliciosos que fuera aceptada sin rechistar por el navegador. Captura de contraseñas, tráfico de red, cookies, etc., son solo algunos de los datos confidenciales que se podrían capturar con una extensión maliciosa de este tipo.
Por suerte, el investigador que descubrió esta clave privada filtrada por error ya se ha puesto en contacto con Yahoo!, y es de esperar que la empresa revoque esta clave y la sustituya por una nueva en los próximos días, si no lo ha hecho ya.
Como vemos, todos somos susceptibles de cometer errores, independientemente de que seamos un simple usuario, una pequeña empresa o una multinacional. Lo que debemos aprender de este tipo de incidencias es saber reaccionar a tiempo y solucionar el problema antes de que pase a mayores.
Josep Albors
@JosepAlbors