Chrome OS údajně umožňuje krádeže dat

14. 7. 2011

Sdílet

Bezpečnostní výzkumník Matt Johansen z firmy Black Hat Security tvrdí, že našel chybu v Chrome OS. Jejím zneužitím dokázal získat přihlašovací údaje např. k e-mailovému účtu uživatele.

Google sice problém vyřešil, ale Johansen tvrdí, že další aplikace jsou zranitelné podobným způsobem. Nejde přitom o to, že by se mu podařilo kompromitovat samotný operační systém/počítač, ale dat se zmocní ve chvíli jejich přenosu mezi cloudem a prohlížečem Chrome. Z pohledu uživatele je to však prakticky jedno. Nakonec v rámci Chrome OS je vlastně lhostejné, co se nachází přímo na pevném disku a co v cloudu.

Johansen tvrdí, že tímto způsobem je zranitelný (alespoň potenciálně) nejenom webový e-mail, ale i třeba účty v sociálních sítích nebo dokonce on-line bankovnictví. vše, kde se přenášejí přihlašovací údaje.

Nicméně informaci je ještě třeba doplnit: To, co je opravdu zranitelné, není Chrome (prohlížeč ani OS), ale jeho rozšíření, která lze stáhnout z Google Chrome Web Store. To co selhává, tak není samotný vývoj Googlu, ale spíše jeho příliš otevřená politika vůči aplikacím třetích stran. Na podobné problémy ostatně Google už opakovaně narazil v případě Androidu (ve srovnání např. s tím, jak rigidněji k aplikacím třetích stran přistupuje Apple).

Mluvčí Googlu ovšem s tvrzením Johansena nesouhlasí. Uvedla, že v příslušném (prvním) rozšíření se opravdu vyskytovala zranitelnost, ale nejde o žádnou systematickou „chybu v návrhu“. Z pohledu koncových uživatelů a především podniků se také podle Googlu nabízí pro tyto případy možnost whitelistů, které umožní pouze instalaci výslovně povolených rozšíření. A nakonec, potíže s rozšířeními nejsou podle Googlu zdaleka jen záležitostí jeho prohlížeče a operačního systému, ale i konkurence. Naopak Google zde riziko snížil pomocí sandboxu.

Johansen v reakci na kritiku Googlu tvrdí, že podrobnosti předvede v srpnu v Las Vegas na konferenci Black Hat. Obecně neříká, že problém je přímo v Chrome, ale v tom, že rozšíření mají příliš velká oprávnění. To proto, že jde de facto o webové aplikace a prohlížeč Chrome není vlastně prohlížeč, ale v rámci Chrome OS přímo operační systém.

 

bitcoin_skoleni

Zdroj: CNet