Cracking Åbn Chrome OS

I dag på Black Hat, en computersikkerhedskonference i Las Vegas, beskrev forskere, hvordan de var i stand til at stjæle data fra Chrome OS, et operativsystem bygget af Google, der kræver, at brugeren gør næsten alt via internettet. Ved at bruge operativsystemets webbaserede design mod sig selv, var forskerne i stand til at få adgang til brugernes navne og adgangskoder og endda bankoplysninger. Mens de specifikke sårbarheder, de udnyttede, kan lukkes, siger forskerne, at der ikke er nogen måde at blokere den bredere trussel på.





Google har udråbt Chrome OS som en revolutionerende tilgang til databehandling og understreget dets sikkerhed. Da applikationer kører på nettet, vil brugerne ikke køre forældet software, hvilket almindeligvis efterlader dem åbne over for sikkerhedssårbarheder. Systemet opdateres også automatisk, og der gemmes lidt på brugerens computer. Hvis et ondsindet stykke software forsøger at komme ind på en Chrome-computer, kan Google eksternt gendanne operativsystemet til en uberørt tilstand. Disse aspekter skulle gøre det mindre sårbart over for vira og andre trusler.

Men forskerne, Matt Johansen og Kyle Osborn, fra webapplikationssikkerhedsfirmaet White Hat Security, demonstrerede, at flytning til nettet kommer med sit eget sæt af farer. Der er ikke adgang til harddisken, men det er vi ligeglade med, siger Johansen. Vi leder efter information. Vi forsøger ikke at bygge et botnet på din Chromebook.

Parret brugte almindelige hackingteknikker. De fik succes næsten med det samme med en metode kaldet cross-site scripting. Dette involverer indsprøjtning af en webside med kode, der kører i browsere for besøgende på webstedet. Koden udfører derefter ondsindede opgaver på de besøgendes maskiner.



Chrome OS er designet til at begrænse den skade, denne teknik kan forårsage. Det gør det via en teknik kaldet sandboxing, som er beregnet til at forhindre, at det, der sker på en browserfane, påvirker en anden. Johansen og Osborn brugte cross-site scripting til at angribe Chrome OS’s browserudvidelser, som typisk tilføjer ny funktionalitet.

I Chrome OS er udvidelser mere kraftfulde end i andre browsere og er ikke underlagt de samme sandbox-regler som browserfaner. Det er fordi de til dels eksisterer for at give funktioner, der påvirker flere faner. Du taler om en super nedtonet version af operativsystemet, siger Osborn, og de forsøger at genopbygge funktionalitet gennem udvidelser.

Forskerne fandt ud af, at udvidelser kan få bred adgang til, hvad der foregår på brugernes browserfaner. Som sådan kunne nogen bruge dem til at stjæle brugernavne og adgangskoder, cookies og browserhistorikoplysninger, herunder oplysninger, der kommer fra websteder, der ikke selv har sårbarheder.



Trusselsudvidelse: Chrome OS er afhængig af browserudvidelser, vist her, for at tilføje fuld funktionalitet til operativsystemet. Men forskere siger, at de også kan åbne systemet for sikkerhedstrusler.

Forskerne fandt ud af, at mange eksisterende udvidelser havde brede tilladelser og var sårbare over for cross-site scripting. De viste også, at det er muligt at bygge ondsindede udvidelser. De kunne for eksempel være forklædt som måder at få billeder af popstjerner på.

Forskerne siger, at der ikke er nogen måde at blokere denne trussel på, fordi alle kan lave en udvidelse, og Google gennemgår dem ikke, før de bliver gjort tilgængelige for brugerne. Der vil næsten altid være nogle udvidelser med sikkerhedssårbarheder, hvilket giver hackere en måde at omgå den ellers solide beskyttelse af Chrome OS.



Forskerne var også i stand til at stjæle data fra LastPass , et adgangskodestyringssystem, ved at overtage en anden udvidelse og bruge den til at åbne nye faner. Dette gjorde det muligt for dem at se adgangskodeoplysningerne, som LastPass indsatte. Selvom LastPass ændrede sit system, så brugeroplysninger ikke længere indtastes automatisk, ville dette stadig ikke beskytte en bruger mod en hacker, der kom ind gennem en ondsindet udvidelse, siger forskerne. En hacker skulle bare vente, indtil brugeren åbnede en ny fane.

Hvis problem er det i det hele taget? siger Johansen og bemærker, at både Google og udvidelsesproducenter kan have et ansvar for at beskytte mod angrebet.

Google har rettet problemerne med sine egne udvidelser og kontakter udvidelsesproducenter, som muligvis kan hjælpe. I fredags postede virksomheden et blogindlæg at understrege styrken af ​​Chromes indbyggede sikkerhed: Vi fortsætter med at forbedre funktioner som vores Safe Browsing API og vores udvidelsesmodel, der hjælper med at beskytte brugere mod ondsindet webindhold. Alligevel siger Google, at brugere skal være forsigtige med, hvilke tilladelser de giver til udvidelser, og hvor de rejser på nettet.



Google har også udsendt retningslinjer for udviklere på at skrive udvidelser mere sikkert. Og den næste udgivelse af Chrome vil også understøtte en indholdssikkerhedspolitik designet til at reducere risikoen for cross-site scripting-angreb.

Denne samtale handler om nettet, ikke Chrome OS, siger en erklæring fra Google. [Computere, der kører Chrome] hæver sikkerhedsbeskyttelsen på computerhardware til nye niveauer. De er også bedre rustet til at håndtere de webangreb, der kan påvirke browsere på enhver computerenhed, delvist takket være en omhyggeligt designet udvidelsesmodel og den avancerede sikkerhed, der er tilgængelig via Chrome, som mange brugere og eksperter har taget til sig.

Med andre ord, at flytte computeroplevelsen helt til internettet kan løse et sæt sikkerhedsproblemer, mens du åbner en kasse fuld af nye.

skjule