Chrome OS 安全性失守,Black Hat 黑帽大會秀漏洞

Chrome OS 安全性失守,Black Hat 黑帽大會秀漏洞
Google 聲稱 Chrome OS 很安全,不過 Chromebook 自6月上市以來,不時有專家提出安全性疑慮;本週 Black Hat 黑帽大會中,WhiteHat Security 研究人員表示已經成功破解Chrome OS,可直接觀看Gmail、Google文件、Google Voice、通訊錄等線上內容。

Google宣稱Chrome OS的安全性優於其他作業系統,不過在本週的Black Hat黑帽大會上,WhiteHat Security研究人員Matt Johanson和Kyle Osborn表示已經成功破解系統,可觀看用戶的Gmail、Google文件、Google Voice、通訊錄等線上內容,甚至還能下載通訊錄。他們去年開始用CR-48筆記型電腦進行測試時,就發現許多安全性問題。

他們發現Chrome OS其中一款ScratchPad擴充套件存在著漏洞(ScratchPad是能將筆記存在Google文件的雲端筆記本),能透過惡意JavaScript程式取得用戶資料,可看到的內容程度端看取得的權限;這也突顯出另一個問題,當使用者透過擴充套件把文件檔案同步到Google文件時,多數人並沒有意識到要取消檔案和資料夾的分享功能,這種缺乏結構化的風險大大增加安全風險。另外還有一款RSS閱讀器,竟然能拿來破解LassPass線上密碼管理,但這並不是LassPass本身的問題。

研究人員指出有一些擴充套件取得太多的權限,例如RSS閱讀器、Email通知程式等,要求可以登入所有google.com的子網域,並存取書籤、Cookie、歷史紀錄、分頁等,這都讓有心人士可以拿來利用,取得這些儲存在Google上的資料,如連絡人清單、語音帳戶,並以CSV格式將全部列表匯出。他們希望Google能制定更嚴格的API標準,例如使用沙盒標籤(sandboxing tabs)讓擴充套件之間無法對話,並移除本地儲存的功能。

Chrome OS 安全性失守,Black Hat 黑帽大會秀漏洞

▲Black Hat黑帽大會上,WhiteHat Security研究人員Matt Johanson(圖右)和Kyle Osborn(圖左)表示已經成功攻破Chrome OS,可取得存放在Google雲端上的資料。

Chrome OS 安全性失守,Black Hat 黑帽大會秀漏洞

▲WhiteHat Security研究人員展示破解Chrome OS的畫面。

Chrome OS 安全性失守,Black Hat 黑帽大會秀漏洞Chrome OS 安全性失守,Black Hat 黑帽大會秀漏洞

▲今年Computex展中,Google大力宣傳Chrome OS的安全性,現在看起來有些諷刺。

資料、圖片來源:CNet

氣象部落客勞倫斯
作者

有一個都市傳說,只要勞倫斯猴買了新東西,就會下雨。

使用 Facebook 留言
八雲紫
1人給推

2.  八雲紫 (發表於 2011年8月05日 18:20)
╮(╯_╰)╭安不安全都是自己在講的
微軟也說自己安全,紅帽也說自己安全
安不安全就看駭客要不要攻擊而已
PCABC
3.  PCABC (發表於 2011年8月05日 23:28)
╮(╯_╰)╭

還好我只裝幾個知名套件而已

拿來擋擋廣告、flash

F90ac26dc28647ce7f418f79602b5813?size=48&default=wavatar
1人給推

5.  sbspirit (發表於 2011年8月08日 14:21)
同意,安全都是廠商講的
結果一段時間就被人家脫光衣服..
發表回應
謹慎發言,尊重彼此。按此展開留言規則