211service.com
Uzlauzšana Atveriet Chrome OS
Šodien Black Hat, datoru drošības konferencē Lasvegasā, pētnieki aprakstīja, kā viņi varēja nozagt datus no Chrome OS — Google izveidotās operētājsistēmas, kas prasa lietotājam gandrīz visu darīt, izmantojot tīmekli. Izmantojot operētājsistēmas tīmekļa dizainu pret sevi, pētnieki varēja piekļūt lietotāju vārdiem un parolēm un pat bankas informācijai. Lai gan konkrētās ievainojamības, ko viņi izmantoja, var novērst, pētnieki saka, ka nav iespējams bloķēt plašākus draudus.
Google ir nodēvējusi Chrome OS kā revolucionāru pieeju skaitļošanai un uzsvērusi tās drošību. Tā kā lietojumprogrammas darbojas tīmeklī, lietotāji nedarbos novecojušu programmatūru, kas parasti atstāj viņus atvērtus drošības ievainojamībām. Sistēma tiek arī automātiski atjaunināta, un lietotāja datorā tiek saglabāts maz. Ja ļaunprātīga programmatūra mēģina iekļūt Chrome datorā, Google var attālināti atjaunot operētājsistēmu sākotnējā stāvoklī. Šiem aspektiem vajadzētu padarīt to mazāk neaizsargātu pret vīrusiem un citiem draudiem.
Taču pētnieki Mets Johansens un Kails Osborns no tīmekļa lietojumprogrammu drošības uzņēmuma White Hat Security pierādīja, ka pārejai uz tīmekli ir saistītas ar savām briesmām. Nav piekļuves cietajam diskam, bet mums ir vienalga, saka Johansens. Mēs meklējam informāciju. Mēs nemēģinām izveidot robottīklu jūsu Chromebook datorā.
Pāris izmantoja izplatītas uzlaušanas metodes. Viņi gandrīz nekavējoties guva panākumus, izmantojot metodi, ko sauc par starpvietņu skriptu. Tas ietver Web lapas ievadīšanu ar kodu, kas darbojas vietnes apmeklētāju pārlūkprogrammās. Pēc tam kods veic ļaunprātīgus uzdevumus šo apmeklētāju iekārtās.
Operētājsistēma Chrome OS ir izstrādāta, lai ierobežotu šīs tehnikas radītos bojājumus. Tas tiek darīts, izmantojot paņēmienu, ko sauc par smilškastes, kuras mērķis ir novērst, ka vienā pārlūkprogrammas cilnē notiekošais ietekmē citu. Johansens un Osborns izmantoja starpvietņu skriptēšanu, lai uzbruktu Chrome OS pārlūkprogrammas paplašinājumiem, kas parasti pievieno jaunas funkcijas.
Operētājsistēmā Chrome OS paplašinājumi ir jaudīgāki nekā citās pārlūkprogrammās, un uz tiem neattiecas tie paši smilškastes noteikumi, kas attiecas uz pārlūkprogrammas cilnēm. Tas ir tāpēc, ka tie daļēji pastāv, lai nodrošinātu funkcijas, kas ietekmē vairākas cilnes. Jūs runājat par ļoti samazinātu operētājsistēmas versiju, saka Osborns, un viņi mēģina atjaunot funkcionalitāti, izmantojot paplašinājumus.
Pētnieki atklāja, ka paplašinājumi var iegūt plašu piekļuvi tam, kas notiek lietotāju pārlūkprogrammas cilnēs. Tādējādi kāds tos var izmantot, lai nozagtu lietotājvārdus un paroles, sīkfailus un pārlūkošanas vēstures informāciju, tostarp informāciju, kas nāk no vietnēm, kurām pašām nav ievainojamību.

Draudi paplašinājums: Lai operētājsistēmai pievienotu pilnu funkcionalitāti, operētājsistēma Chrome OS izmanto pārlūkprogrammas paplašinājumus, kas parādīti šeit. Taču pētnieki saka, ka viņi var arī atvērt sistēmu drošības apdraudējumiem.
Pētnieki atklāja, ka daudziem esošajiem paplašinājumiem bija plašas atļaujas un tie bija neaizsargāti pret starpvietņu skriptēšanu. Viņi arī parādīja, ka ir iespējams izveidot ļaunprātīgus paplašinājumus. Tos varētu slēpt, piemēram, kā veidus, kā iegūt popzvaigžņu attēlus.
Pētnieki saka, ka nav iespējams bloķēt šos draudus, jo ikviens var izveidot paplašinājumu, un Google tos nepārskata, pirms tie ir pieejami lietotājiem. Gandrīz vienmēr būs daži paplašinājumi ar drošības ievainojamībām, kas sniedz hakeriem iespēju apiet citādi stingro Chrome OS aizsardzību.
Pētnieki arī varēja nozagt datus no LastPass , paroļu pārvaldības sistēma, pārņemot citu paplašinājumu un izmantojot to jaunu cilņu atvēršanai. Tas ļāva viņiem redzēt LastPass ievietoto paroles informāciju. Lai gan LastPass mainīja savu sistēmu tā, lai lietotāja informācija vairs netiktu automātiski ievadīta, tas joprojām nepasargās lietotāju no hakera, kurš iekļuvis, izmantojot ļaunprātīgu paplašinājumu, norāda pētnieki. Hakerim vienkārši jāgaida, līdz lietotājs atvērs jaunu cilni.
Kura problēma tā vispār ir? Johansens saka, norādot, ka gan Google, gan paplašinājumu veidotāji var būt atbildīgi par aizsardzību pret uzbrukumu.
Google ir novērsis problēmas ar saviem paplašinājumiem un sazinās ar paplašinājumu veidotājiem, kuri, iespējams, var palīdzēt. Piektdien uzņēmums ievietoja emuāra ierakstu uzsverot Chrome iebūvētās drošības jauda: mēs turpinām uzlabot tādas funkcijas kā mūsu Drošas pārlūkošanas API un mūsu paplašinājumu modeli, kas palīdz aizsargāt lietotājus no ļaunprātīga tīmekļa satura. Tomēr Google saka, ka lietotājiem ir jābūt uzmanīgiem attiecībā uz to, kādas atļaujas viņi piešķir paplašinājumiem un kur viņi ceļo tīmeklī.
Google arī ir izdevusi vadlīnijas izstrādātājiem par drošāku paplašinājumu rakstīšanu. Nākamais Chrome laidiens atbalstīs arī a satura drošības politika izstrādāts, lai samazinātu starpvietņu skriptu uzbrukumu risku.
Šī saruna ir par tīmekli, nevis Chrome OS, teikts Google paziņojumā. [Datori, kuros darbojas Chrome] paaugstina skaitļošanas aparatūras drošības aizsardzību jaunā līmenī. Tie ir arī labāk aprīkoti, lai apstrādātu tīmekļa uzbrukumus, kas var ietekmēt jebkuras skaitļošanas ierīces pārlūkprogrammas, daļēji pateicoties rūpīgi izstrādātam paplašinājumu modelim un uzlabotajai drošībai, kas pieejama pārlūkā Chrome un ko ir izmantojuši daudzi lietotāji un eksperti.
Citiem vārdiem sakot, skaitļošanas pieredzes pilnīga pārvietošana uz tīmekli var atrisināt vienu drošības problēmu kopu, vienlaikus atverot kastīti, kas ir pilna ar jaunām.