Sikkerhetseksperter hudfletter Chrome OS
Eksperter mener grunnleggende feil åpner for angrep.
Når Google presenterte Chrome OS i fjor, forsikret søkegiganten om at sikkerheten ville være ivaretatt. Chrome OS bruker sandkasseteknologi, det vil si alle nettsider og programmer kjører i et beskyttet miljø. Det betyr at eventuelle skadelige programmer ikke skal kunne infisere resten av systemet, ifølge Google.
Nå kommer imidlertid kritikken fra alle retninger.
– Utvidelser gir angripere rettigheter til din datamaskin
Sikkerhetseksperter advarer mot utvidelser som kan sette sikkerheten i fare, og gi uvedkommende tilgang til sensitiv informasjon.
Forskerne Matt Johansen og Kyle Osborn, fra sikkerhetsselskapet Whitehat Security, har på Black Hat-sikkerhetskonferansen nylig pekt på flere sårbarheter i Chrome-utvidelser som dreier seg om grunnleggende designfeil. Disse kan gjøre det nettbaserte operativsystemet veldig sårbart for angrep.
Google Chrome OS er bygget rundt Chrome-nettleseren, og mesteparten av funksjonene er nettbaserte. Det ekspertene imidlertid reagerer mest på er rettighetssystemet for disse funksjonene – de mener dette åpner for angrepsmuligheter.
– «Chrome Web Store» mangler sikkerhetskontroll
Mange av programmene som brukes i Chrome OS kan lastes ned via «Chrome Web Store», og mange av disse programmene leveres med advarsler som «denne utvidelsen kan få tilgang til dine data på alle nettsider», eller «dette programmet kan få tilgang til dine faner og surfehistorikk». Disse programmen innebærer med andre ord stor sikkerhetsrisiko, mener ekspertene.
Ekspertene mener det er mulig for angripere å lage skadelige utvidelser, og lure brukeren til å installere disse. Det viser seg nemlig at innsendingsprosessen for Chrome Web Store mer eller mindre er automatisert og ukritisk.
En skadelig utvidelse vil kunne gi en angriper tilgang til data på brukerens datamaskin. Videre vil en eventuell Cross-Site Scripting-feil i en Chrome-utvidelse kunne åpne for angrep.
– Det er farlig å stole fullt og helt på nettskyen
Chester Wisniewski fra sikkerhetsselskapet Sophos er også kritisk til sikkerheten i Google Chrome OS.
– Det er en skremmende tanke at et sikkerhetshull i en populær utvidelse vil potensielt kunne gi en angriper tilgang til alt i brukerens surfesesjon. Utvidelsene som tilbys via Chrome Web Store er ikke kontrollert godt nok, sier Wisniewski til nettstedet theinquirer.net.
Det kan også nevnes at Richard Stallman, grunnleggeren av Free Software Foundation og hovedpersonen bak GNU-systemet, er blant dem som har kritisert Chrome OS. Stallman mener omfattende bruk av nettskyen kan være farlig.
(Kilde: The Inquirer)
