Chrome OS openen

Vandaag op Black Hat, een computerbeveiligingsconferentie in Las Vegas, beschreven onderzoekers hoe ze gegevens konden stelen van Chrome OS, een besturingssysteem dat is gebouwd door Google en dat vereist dat de gebruiker bijna alles via internet doet. Door het webgebaseerde ontwerp van het besturingssysteem tegen zichzelf te gebruiken, kregen de onderzoekers toegang tot de namen en wachtwoorden van gebruikers en zelfs tot bankgegevens. Hoewel de specifieke kwetsbaarheden die ze hebben uitgebuit kunnen worden gesloten, zeggen de onderzoekers dat er geen manier is om de bredere dreiging te blokkeren.





Google heeft Chrome OS aangeprezen als een revolutionaire benadering van computergebruik en benadrukte de beveiliging ervan. Omdat applicaties op het web draaien, zullen gebruikers geen verouderde software gebruiken, waardoor ze vaak kwetsbaar zijn voor de beveiliging. Het systeem wordt ook automatisch bijgewerkt en er wordt weinig opgeslagen op de computer van de gebruiker. Als een kwaadaardig stukje software op een Chrome-computer probeert te komen, kan Google het besturingssysteem op afstand herstellen naar een onberispelijke staat. Deze aspecten zouden het minder kwetsbaar moeten maken voor virussen en andere bedreigingen.

Maar de onderzoekers, Matt Johansen en Kyle Osborn, van het beveiligingsbedrijf voor webapplicaties White Hat Security, hebben aangetoond dat de overstap naar het web zijn eigen gevaren met zich meebrengt. Er is geen toegang tot de harde schijf, maar dat maakt ons niet uit, zegt Johansen. We zijn op zoek naar informatie. We proberen geen botnet op uw Chromebook te bouwen.

Het paar gebruikte veelvoorkomende hacktechnieken. Ze waren vrijwel onmiddellijk succesvol met een methode genaamd cross-site scripting. Dit omvat het injecteren van een webpagina met code die wordt uitgevoerd in de browsers van bezoekers van de site. De code voert vervolgens kwaadaardige taken uit op de machines van die bezoekers.



Chrome OS is ontworpen om de schade die deze techniek kan veroorzaken te beperken. Het doet dit via een techniek genaamd sandboxing, die bedoeld is om te voorkomen dat wat er op het ene browsertabblad gebeurt, een ander beïnvloedt. Johansen en Osborn gebruikten cross-site scripting om de browserextensies van Chrome OS aan te vallen, die doorgaans nieuwe functionaliteit toevoegen.

In Chrome OS zijn extensies krachtiger dan in andere browsers en zijn ze niet onderworpen aan dezelfde sandbox-regels als browsertabbladen. Dat komt omdat ze gedeeltelijk bestaan ​​om functies te bieden die van invloed zijn op meerdere tabbladen. Je hebt het over een super uitgeklede versie van het besturingssysteem, zegt Osborn, en ze proberen de functionaliteit opnieuw op te bouwen door middel van extensies.

De onderzoekers ontdekten dat extensies brede toegang kunnen krijgen tot wat er op de browsertabbladen van gebruikers gebeurt. Als zodanig kan iemand ze gebruiken om gebruikersnamen en wachtwoorden, cookies en browsegeschiedenisinformatie te stelen, inclusief informatie die afkomstig is van sites die zelf geen kwetsbaarheden hebben.



Bedreigingsextensie: Chrome OS is afhankelijk van browserextensies, die hier worden weergegeven, om volledige functionaliteit aan het besturingssysteem toe te voegen. Maar onderzoekers zeggen dat ze het systeem ook kunnen openstellen voor beveiligingsrisico's.

De onderzoekers ontdekten dat veel bestaande extensies brede machtigingen hadden en kwetsbaar waren voor cross-site scripting. Ze lieten ook zien dat het mogelijk is om kwaadaardige extensies te bouwen. Ze kunnen bijvoorbeeld worden vermomd als manieren om afbeeldingen van popsterren te krijgen.

De onderzoekers zeggen dat er geen manier is om deze dreiging te blokkeren, omdat iedereen een extensie kan maken en Google ze niet beoordeelt voordat ze beschikbaar worden gesteld aan gebruikers. Er zullen bijna altijd enkele extensies zijn met beveiligingsproblemen, waardoor hackers de anders solide beveiliging van Chrome OS kunnen omzeilen.



De onderzoekers waren ook in staat om gegevens te stelen van LastPass , een wachtwoordbeheersysteem, door een andere extensie over te nemen en deze te gebruiken om nieuwe tabbladen te openen. Hierdoor konden ze de wachtwoordinformatie zien die LastPass had ingevoerd. Hoewel LastPass zijn systeem zo heeft gewijzigd dat gebruikersinformatie niet langer automatisch wordt ingevoerd, zou dit een gebruiker nog steeds niet beschermen tegen een hacker die via een kwaadaardige extensie binnenkwam, zeggen de onderzoekers. Een hacker zou gewoon moeten wachten tot de gebruiker een nieuw tabblad opende.

Wiens probleem is dit in het algemeen? Johansen merkt op dat zowel Google als extensiemakers een verantwoordelijkheid kunnen hebben om zich tegen de aanval te beschermen.

Google heeft de problemen met zijn eigen extensies opgelost en neemt contact op met extensiemakers die mogelijk kunnen helpen. Op vrijdag plaatste het bedrijf een blogbericht benadrukkend de kracht van de ingebouwde beveiliging van Chrome: we blijven functies verbeteren zoals onze Safe Browsing API en ons extensiemodel die gebruikers helpen beschermen tegen schadelijke webinhoud. Toch zegt Google dat gebruikers voorzichtig moeten zijn met de toestemmingen die ze verlenen aan extensies en waar ze op internet reizen.



Google heeft ook uitgegeven richtlijnen voor ontwikkelaars op het veiliger schrijven van extensies. En de volgende release van Chrome ondersteunt ook een inhoud beveiligingsbeleid ontworpen om het risico op cross-site scripting-aanvallen te verminderen.

Dit gesprek gaat over het web, niet over Chrome OS, zegt een verklaring van Google. [Computers met Chrome] verhogen de beveiliging van computerhardware naar een nieuw niveau. Ze zijn ook beter uitgerust om de webaanvallen aan te pakken die browsers op elk computerapparaat kunnen treffen, mede dankzij een zorgvuldig ontworpen extensiemodel en de geavanceerde beveiliging die beschikbaar is via Chrome en die veel gebruikers en experts hebben omarmd.

Met andere woorden, het volledig verplaatsen van de computerervaring naar het web kan een reeks beveiligingsproblemen oplossen en tegelijkertijd een doos vol nieuwe openen.

zich verstoppen