Chrome OS přinese nová bezpečnostní rizika

31. 12. 2009

Sdílet

Chystaný operační systém Chrome OS od Googlu se stane magnetem pro internetové útočníky, předpovídají experti společnosti McAfee.

Sam Masiello, ředitel sekce managementu hrozeb ve společnosti McAfee, je přesvědčen, že Chrome bude cílem kyberútočníků ještě před svým finálním uvolněním. Podle něj se bude opakovat obdobná situace, jako tomu bylo v případě Visty a Windows 7, na něž se také útočníci zaměřili ještě před jejich dokončením. Testeři totiž často podceňovali bezpečnostní rizika při zkoušení nových systémů a mohli se tak pro útočníky stát snadnou kořistí. I když je Chrome OS zatím ve vývoji, měl by se již v této fázi dostat do zájmu firem, zaměřujících se na internetovou bezpečnost, tvrdí Masiello, protože kyberzločinci se o tento systém také jistě intenzivně zajímají nebo se o něj začnou brzy zajímat.

Chrome OS byl oznámen oficiálně v červenci letošního roku a v listopadu byly uvolněny zdrojové kódy zkušební verze. Konkrétní termín uvolnění finální verze není ještě znám, ale Google předpokládá, že netbooky s tímto OS by se na trhu měly objevit v druhé polovině roku 2010.

Jedním z dalších důvodů, proč bude Chrome OS pro internetové útočníky tak atraktivní, je jeho závislost na HTML5, což je stále ještě nedokončená revize jazyka HTML, která má mj. za cíl nahradit současné doplňky pro bohaté internetové aplikace jako je Flash od či Silverlight od Microsoftu, neboť vývojáři by mohli přímo do svých stránek zabudovávat prvky internetových aplikací pomocí příkazů HTML5. Nová revize jazyka HTML5 také podporuje off-line provoz webových aplikací, které byly tradičně dostupné jako on-line služby při připojení k internetu. Podle Masiella se dostáváme do fáze, kdy se rozostří hranice mezi on-line a off-line aplikacemi a kyberútočníci budou moci na uživatele obdobným principem zaútočit i v případě, že bude právě odpojený od internetu.

Také intenzivně medializovaný projekt Google Wave, vyvíjený jako platforma pro komunikaci a spolupráci, bude moci být podle Masiella používán jako perfektní nástroj pro řízení botnetu nebo sítě již ovládnutých počítačů. Důvodem je využití protokolu XMPP, který umožňuje řízení webových aplikací pomocí jiných aplikací, což může být využito právě pro elegantní decentralizované řízení botnetu.

Masiello dodává, že i když se v roce 2010 lze očekávat zmíněné hrozby, díky jejich novosti je pravděpodobné, že budou mít jen omezený rozsah a dokud nebude např. revize HTML5 dokončena, je čas se připravovat na rizika, která s sebou přinese.