En af de mest interessante præsentationer på Black Hat konferencen i Las Vegas i denne uge handlede om Googles nye webbaserede operativsystem Chrome OS, der bruges i den bærbare Chromebook-computer.
Som udgangspunkt skulle Chrome OS være mere sikkert end et almindeligt pc-operativsystem, fordi kode afvikles i en isoleret ”sandkasse” og samtidig hentes der automatisk opdateringer til systemet.
Men sikkerhedseksperterne Matt Johansen og Kyle Osborn fra White Hat Security har afsløret, at Chrome OS faktisk indeholder en række ”alvorlige og fundamentale” sikkerhedshuller. Det skriver digi.no.
Med et enkelt museklik kan man således overtage brugerens Google-konto, hente e-mails, kontakter og gemte dokumenter, scanne intranettet og plante falske beskeder i Google Voice, fremgår det af denne beskrivelse.
I den forbindelse er det værd at bemærke, at Chrome OS netop kræver en Google-konto – så det bliver ekstra alvorligt, at hackere har fri adgang til kontoen.
”Chrome OS og Chromebooks har nogle imponerende og unikke sikkerhedsfunktioner, men de er ikke altomfattende. Google er blevet informeret om vores fund, nogle af sårbarhederne er rettet, der er udbetalt præmier, men mange af de fundamentale svagheder findes stadig,” skriver de to sikkerheds-eksperter.
Det skulle således være muligt at plante Javascript-malware på computerne som ikke forsvinder selvom maskinen bliver genstartet.
Chrome OS er som udgangspunkt browserbaseret, men det er ikke alt, der kan gøres i browseren. Derfor kræves de såkaldte ”extensions”, der distribueres gennem Chrome Web Store. Problemet er så bare, at udvidelserne ikke bliver sikkerhedstestet inden de tages med i webbutikken. Her er der altså frit spil for at plante trojanere.
Google skriver om sikkerheden i extensions i denne blog.
