Crack Open Chrome OS

Dnes na Black Hat, konferenci o počítačové bezpečnosti v Las Vegas, výzkumníci popsali, jak byli schopni ukrást data z Chrome OS, operačního systému vytvořeného společností Google, který vyžaduje, aby uživatel dělal téměř vše přes web. Použitím webového designu operačního systému proti sobě samému byli výzkumníci schopni získat přístup ke jménům a heslům uživatelů a dokonce i k bankovním informacím. Zatímco konkrétní zranitelnosti, které využívali, lze uzavřít, výzkumníci tvrdí, že neexistuje způsob, jak zablokovat širší hrozbu.

Google nabízí Chrome OS jako revoluční přístup k práci s počítači a klade důraz na jeho zabezpečení. Vzhledem k tomu, že aplikace běží na webu, uživatelé nebudou spouštět zastaralý software, což je obvykle vystavuje ohrožení zabezpečení. Systém se také automaticky aktualizuje a v počítači uživatele se toho ukládá jen málo. Pokud se škodlivý software pokusí dostat do počítače Chrome, Google může vzdáleně obnovit operační systém do původního stavu. Díky těmto aspektům by měl být méně zranitelný vůči virům a dalším hrozbám.

Výzkumníci Matt Johansen a Kyle Osborn ze společnosti White Hat Security zabývající se bezpečností webových aplikací však prokázali, že přechod na web s sebou nese vlastní řadu nebezpečí. Neexistuje žádný přístup k pevnému disku, ale to nás nezajímá, říká Johansen. Jde nám o informace. Nesnažíme se na vašem Chromebooku vybudovat botnet.

Dvojice používala běžné hackerské techniky. Díky metodě zvané cross-site scripting byly úspěšné téměř okamžitě. To zahrnuje vložení webové stránky s kódem, který běží v prohlížečích návštěvníků webu. Kód pak provádí škodlivé úkoly na počítačích těchto návštěvníků.

Chrome OS je navržen tak, aby omezil škody, které by tato technika mohla způsobit. Dělá to pomocí techniky zvané sandboxing, která má zabránit tomu, aby to, co se děje na jedné kartě prohlížeče, ovlivnilo jinou. Johansen a Osborn použili skriptování napříč weby k útoku na rozšíření prohlížeče Chrome OS, která obvykle přidávají nové funkce.

V Chrome OS jsou rozšíření výkonnější než v jiných prohlížečích a nevztahují se na ně stejná pravidla karantény jako na karty prohlížeče. Je to proto, že existují částečně proto, aby poskytovaly funkce, které ovlivňují více karet. Mluvíte o super zkrácené verzi operačního systému, říká Osborn, a snaží se obnovit funkčnost pomocí rozšíření.

Výzkumníci zjistili, že rozšíření mohou získat široký přístup k tomu, co se děje na kartách prohlížeče uživatelů. Jako takové by je někdo mohl použít ke krádeži uživatelských jmen a hesel, souborů cookie a informací o historii procházení, včetně informací pocházejících z webů, které samy zranitelnosti nemají.

Rozšíření hrozby: Chrome OS spoléhá na zde zobrazená rozšíření prohlížeče, která do operačního systému přidávají plnou funkčnost. Vědci ale tvrdí, že mohou systém otevřít i bezpečnostním hrozbám.

Výzkumníci zjistili, že mnoho existujících rozšíření mělo široká oprávnění a byla zranitelná vůči skriptování mezi weby. Ukázali také, že je možné vytvářet škodlivá rozšíření. Mohly by být maskovány například jako způsoby, jak získat obrázky popových hvězd.

Výzkumníci tvrdí, že neexistuje způsob, jak tuto hrozbu zablokovat, protože rozšíření může vytvořit kdokoli a Google je nekontroluje, dokud nebudou zpřístupněny uživatelům. Téměř vždy budou existovat některá rozšíření s bezpečnostními chybami, která hackerům poskytují způsob, jak obejít jinak solidní ochranu Chrome OS.

Výzkumníci byli také schopni ukrást data z LastPass , systém správy hesel, převzetím jiného rozšíření a jeho používáním k otevírání nových karet. To jim umožnilo vidět informace o hesle, které LastPass vložil. Ačkoli LastPass změnil svůj systém tak, že informace o uživateli již nejsou automaticky zadávány, stále by to uživatele nechránilo před hackerem, který se dostal dovnitř prostřednictvím škodlivého rozšíření, říkají výzkumníci. Hacker by musel počkat, dokud uživatel neotevře novou kartu.

Čí je to vlastně problém? Johansen říká a poznamenává, že jak Google, tak tvůrci rozšíření mohou mít odpovědnost za ochranu před útokem.

Google vyřešil problémy se svými vlastními rozšířeními a kontaktuje výrobce rozšíření, kteří by mohli být schopni pomoci. V pátek společnost zveřejnila příspěvek na blogu zdůrazňující síla vestavěného zabezpečení prohlížeče Chrome: Pokračujeme ve zdokonalování funkcí, jako je naše rozhraní API pro bezpečné procházení a náš model rozšíření, které pomáhají chránit uživatele před škodlivým webovým obsahem. Přesto Google říká, že uživatelé si musí dávat pozor na to, jaká oprávnění udělují rozšířením a kam na webu cestují.

Google také vydal pokyny pro vývojáře na bezpečnější psaní rozšíření. A příští vydání Chrome bude také podporovat a zásady zabezpečení obsahu navrženy tak, aby snižovaly riziko útoků cross site scripting.

Tato konverzace se týká webu, nikoli Chrome OS, uvádí prohlášení společnosti Google. [Počítače se systémem Chrome] zvyšují zabezpečení výpočetního hardwaru na novou úroveň. Jsou také lépe vybaveny pro zvládnutí webových útoků, které mohou ovlivnit prohlížeče na jakémkoli výpočetním zařízení, zčásti díky pečlivě navrženému modelu rozšíření a pokročilému zabezpečení dostupnému prostřednictvím prohlížeče Chrome, které si osvojilo mnoho uživatelů a odborníků.

Jinými slovy, přesunutí práce s počítačem zcela na web může vyřešit jeden soubor bezpečnostních problémů a zároveň otevřít krabici plnou nových.

skrýt

211service.com

Crack Open Chrome OS

Nejlepší

Hackeři v roce 2017 ukradli lidem 172 miliard dolarů

Nezůstávejte pozadu: Obchodní riziko a cena zastarávání technologií

Pracovníci Amazonu poslouchají některé vaše rozhovory s Alexou

Nová aplikace by řekla, že jste se setkali s někým, kdo je infikován

Hackeři stojící za nejnebezpečnějším kódem na světě zkoumají americké energetické firmy

Kategorie

Populární Články