Utilizatorii Chrome OS sunt expusi atacurilor
Pagina 1 din 1
Utilizatorii Chrome OS sunt expusi atacurilor
Scris de user Dum Aug 07, 2011 6:04 pm
Sistemul de operare Google Chrome integreaza multe feature-uri de securitate, insa asemeni oricarui software, are si un "calcai al lui Ahile". Potrivit expertilor in securitate, extensia de browser din platforma expune datele utilizatorilor in fata atacurilor, informeaza Inquirer.
Cercetatorii companiei Whitehat Security, Matt Johansen si Kyle Osborn, au analizat saptamana aceasta, in cadrul conferintei de securitate Black Hat USA, o serie de vectori de atac ai extensiei Chrome, iar potrivit concluziilor, aceste vulnerabilitati de design fundamentale din sistemul de operare centrat pe web nu vor fi usor de remediat.
Google Chrome OS este construit in jurul browser-ului Chrome, iar majoritatea functionalitatilor sale provin din aplicatii bazate pe web, care pot fi downloadate din Chrome Web Store. Tocmai acest sistem deschide posibilitatea atacurilor.
Cei care navigheaza prin magazinul web au observat probabil ca multe extensii si aplicatii au avertismente precum "aceasta extensie iti poate accesa datele de pe toate site-urile" sau "aceasta aplicatie iti poate accesa tab-urile si istoricul navigarilor." Oricare dintre acestia reprezinta un risc major pentru securitatea datelor.
In primul rand, un atacator poate crea o extensie malitioasa, iar prin intermediul tehnicii de social engineering sa pacaleasca utilizatorii sa o instaleze. Procesul de listare a unei extensii in Chrome Web Store este unul automat, prin urmare nu se efectueaza o analiza aprofundata a codului.
O astfel de extensie i-ar oferi atacatorului acces la datele utilizatorilor. Potrivit propriei documentatii Google, extensiile "iti pot folosi cookie-urile pentru a cere sau a modifica datele de pe site-uri."
Iar aplicatiile malitioase nu reprezinta singura optiune de atac. Cele vulnerabile ridica aceleasi riscuri. De exemplu, o eroare de tipul cross-site scripting dintr-un site poate fi exploatata pentru a ataca decat acel site, dar o slabiciune XSS dintr-o extensie Chrome poate fi manevrata astfel incat sa atace toate site-urile deschise in browser.
Totusi, utilizatorii nu se lasa usor pacaliti in instalarea unei extensii malitioase, ceea ce limiteaza considerabil impactul unui astfel de atac.
Cu toate acestea, numarul de potentiale victime devine mult mai mare daca vorbim despre o extensie populara care integreaza o vulnerabilitate pe care atacatorii o pot exploata.
"Multe extensii disponibile in Chrome Web Store nu au fost fost dezvoltate prin raportarea la securitate. Prin urmare, pe langa posibilele vulnerabilitati pe care le pot integra, exista de asemenea riscul sa ceara permisiune la niveluri mai inalte decat ar avea nevoie pentru a functiona corespunzator," a declarat Chester Wisniewski, reprezentant Sophos.
Cercetatorii in securitate sustin ca pana in prezent Google si-a aratat implicarea, rezolvand cateva aspecte ale problemei. Exista insa vulnerabilitati de design, care nu vor fi atat de usor de redresat.
Iar in cele din urma, utilizatorul este cel care va trebui sa isi asume responsabilitatea protejarii propriului sistem, prin acordarea unei atentii sporite extensiilor Chrome pe care le instaleaza.
Cercetatorii companiei Whitehat Security, Matt Johansen si Kyle Osborn, au analizat saptamana aceasta, in cadrul conferintei de securitate Black Hat USA, o serie de vectori de atac ai extensiei Chrome, iar potrivit concluziilor, aceste vulnerabilitati de design fundamentale din sistemul de operare centrat pe web nu vor fi usor de remediat.
Google Chrome OS este construit in jurul browser-ului Chrome, iar majoritatea functionalitatilor sale provin din aplicatii bazate pe web, care pot fi downloadate din Chrome Web Store. Tocmai acest sistem deschide posibilitatea atacurilor.
Cei care navigheaza prin magazinul web au observat probabil ca multe extensii si aplicatii au avertismente precum "aceasta extensie iti poate accesa datele de pe toate site-urile" sau "aceasta aplicatie iti poate accesa tab-urile si istoricul navigarilor." Oricare dintre acestia reprezinta un risc major pentru securitatea datelor.
In primul rand, un atacator poate crea o extensie malitioasa, iar prin intermediul tehnicii de social engineering sa pacaleasca utilizatorii sa o instaleze. Procesul de listare a unei extensii in Chrome Web Store este unul automat, prin urmare nu se efectueaza o analiza aprofundata a codului.
O astfel de extensie i-ar oferi atacatorului acces la datele utilizatorilor. Potrivit propriei documentatii Google, extensiile "iti pot folosi cookie-urile pentru a cere sau a modifica datele de pe site-uri."
Iar aplicatiile malitioase nu reprezinta singura optiune de atac. Cele vulnerabile ridica aceleasi riscuri. De exemplu, o eroare de tipul cross-site scripting dintr-un site poate fi exploatata pentru a ataca decat acel site, dar o slabiciune XSS dintr-o extensie Chrome poate fi manevrata astfel incat sa atace toate site-urile deschise in browser.
Totusi, utilizatorii nu se lasa usor pacaliti in instalarea unei extensii malitioase, ceea ce limiteaza considerabil impactul unui astfel de atac.
Cu toate acestea, numarul de potentiale victime devine mult mai mare daca vorbim despre o extensie populara care integreaza o vulnerabilitate pe care atacatorii o pot exploata.
"Multe extensii disponibile in Chrome Web Store nu au fost fost dezvoltate prin raportarea la securitate. Prin urmare, pe langa posibilele vulnerabilitati pe care le pot integra, exista de asemenea riscul sa ceara permisiune la niveluri mai inalte decat ar avea nevoie pentru a functiona corespunzator," a declarat Chester Wisniewski, reprezentant Sophos.
Cercetatorii in securitate sustin ca pana in prezent Google si-a aratat implicarea, rezolvand cateva aspecte ale problemei. Exista insa vulnerabilitati de design, care nu vor fi atat de usor de redresat.
Iar in cele din urma, utilizatorul este cel care va trebui sa isi asume responsabilitatea protejarii propriului sistem, prin acordarea unei atentii sporite extensiilor Chrome pe care le instaleaza.
user- Administrator
- Mesaje : 298
Reputatie : 8
Data de inscriere : 06/08/2011
Varsta : 35 -
Subiecte similare» Sunt mai avantajoase platile online ?
» Care sunt apele minerale cele mai bune?
» Google a lansat versiunea cu numarul 13 a browser-ului Chrome
» Care sunt apele minerale cele mai bune?
» Google a lansat versiunea cu numarul 13 a browser-ului Chrome
Pagina 1 din 1
Permisiunile acestui forum:
Nu puteti raspunde la subiectele acestui forum|
|
|