Bezpečnost Chrome OS začíná vyvolávat pochybnosti

Pavel Houser , 13. červen 2011 10:26 2 komentářů
Chrome
Někteří bezpečnostní analytici poslední dobou čím dál častěji vyjadřují obavy, že Google má co se týče zabezpečení nových netbooků s Chrome OS značně přehnané sebevědomí. Operační systém Chrome OS na netboocích Aceru a Samsungu má být podle Googlu výhodný hlavně pro podniky, je pro ně ale opravdu vhodný?
rychlý boot ze sítě
Chrome OS slibuje načtení plnohodnotného systému do 8 vteřin.
Google slibuje administrátorům ve firmách prakticky bezúdržbové prostředí a konec starostí se zabezpečením nebo nasazováním aktualizací. Společnost prohlašuje, že technologie sandboxu oddělující od sebe jednotlivé procesy je natolik účinná, že se uživatelé Chrome OS obejdou bez antivirů.

Zabezpečení Chrome OS kromě sandboxů zahrnuje např. zcela automatické aktualizace a návrat systému do posledního funkčního stavu, pokud dojde ke zjištění nějakých problémů. To je možné kvůli tomu, že uživatelská data nejsou uložena na počítači, ale v cloudu (v šifrované podobě). Lokálně jsou v počítači pouze systémové soubory. Veškeré aplikace pak běží v rámci webového prohlížeče a mají podobu aplikací webových. Vedle jádra systému a prohlížeče se "dovnitř" doinstalovávají pouze plug-iny.

Riziko krádeže klíčů

Rik Ferguson, bezpečnostní konzultant společnosti Trend Micro, ovšem tento přístup kritizuje (The Register). Podle něj Googlu hrozí, že zopakuje chybu Applu, kdy právě nedostatečné zabezpečení systému iOS představovalo dlouho překážku pro větší nasazení iPhonů ve firmách (na úkor např. Nokií a BlackBerry). Ferguson se domnívá, že když Google uvolnil své SDK (Software Development Kit), začnou se brzy pro Chrome OS objevovat i nativní aplikace. Právě jejich prostřednictvím hrozí, že do systému se zanese malware.

Mechanismus útoku může být např. takový, že se podvodná aplikace (ať už webová nebo plug-in) zmocní šifrovacích klíčů v netbooku. Útočník se pak s jejich pomocí dostane k datům zašifrovaným v cloudu. I když samotný počítač/systém třeba kompromitován nebude, data ano. To pro firemní zákazníky samozřejmě není dobrá perspektiva.
chromebook


Sandbox, tvrdí dále Ferguson, není všelék. Stačí si vzpomenout, jak často bývájí překonány další podobné technologie, třeba Chráněný režim v Internet Exploreru nebo bezpečnostní mechanismy v implementaci Javy. Jistěže sandbox v prohlížeči Chrome je všeobecně pokládán za velmi kvalitní, i tak je ho Google nucen neustále opravovat a navíc může být překonán při zranitelnostech plug-inů (což se u přehrávače Flash děje dost často).

Nabízí se ještě jedno srovnání s Applem, když firma dlouho tvrdila, že pro Mac OS není potřeba žádný antivirus, protože se zde nevyskytuje malware. Toto tvrzení však postupně přestalo platit. Jakmile se notebooky s Chrome OS dostatečně rozšíří (což je jistě v zájmu Googlu), stanou se vítaným cílem i pro podvodníky.

Pro a proti

Fergusonovi by se ovšem dalo namítnout, že během posledních třech let se na hackerském klání CanSecWest skupiny Pwn2Own počítač s Chrome nepodařilo kompromitovat ani jednou. I když nějaké zranitelnosti prohlížeče byly známy, samotný sandbox vždy vydržel. To ovšem ve hře nebyly plug-iny.

Naopak proti bezpečnostní politice Googlu hovoří incidenty na Android Market, kde se pravidelně objevují závadné aplikace. Neměl by zde Google uplatňovat restriktivnější politiku? Eugene Kaspersky dokonce z hlediska výskytu škodlivých kódů označil systém Android za nová Windows.

chromebook

"Fable" problém správné volby

Otázkou prozatím zůstává, jak bude fungovat podobné "tržiště" pro Chrome OS a zda celkově operační systém od Google v oblasti bezpečnosti naváže spíše na prohlížeč Chrome (dobrá pověst) nebo na Android (zhoršující se pověst).

Důvody k obavám zde ovšem jsou. Server Help Net Security např. uvádí, že v Chrome Web Store již byly objeveny hry, jejichž instalace vyžaduje dát aplikaci obrovská oprávnění. Toto rizikové chování bylo objeveno u her Super Mario World a Super Mario 2, který vyžadují přístup k uživatelovým bookmarkům, historii prohlížení webu apod. Přitom aplikace mohou bookmarky nejen číst, ale i je např. přeskupovat a přidávat do nich nové položky. Co je nejhorší, obě hry vyžadují i přístup k veškerým uživatelským datům na Internetu - tj. třeba přístup k webovému e-mailu, sociálním sítím, cookies obsahujícím např. automaticky ukládané přihlašovací údaje apod.

David Rogers, který na problém upozornil, žádal Google, aby tyto aplikace z Chrome Web Store odstranil, Google však údajně váhal. Je pravda, že hry své chování neskrývaly a uživatelé museli při instalaci se vším souhlasit, opravdu lze však spoléhat na to, že si lidé uvědomují, co přesně odkliknou? Teprve po určité době obě aplikace z Chrome Web Store potichu zmizely, Google to nicméně nijak nekomentoval. Neví se ani, kolik nešťastníků si tyto hry opravdu nainstalovalo.

{seealso} Samozřejmě, že firma může těžko zabránit, aby se škodlivé doplňky pro její produkty distribuovaly jinými kanály, ale podle analytiků by si měla více hlídat svá vlastní "tržiště". Přece jen jde o službu přímo pod značkou Googlu a uživatelé mnohdy mají ke zde nabízeným aplikacím automaticky (a někdy neoprávněně) důvěru, jako kdyby šlo přímo o aplikace Googlu...

Jak vidí bezpečnost Chrome OS sám Google



Kam dál:

Kdo skutečně potřebuje Chrome OS a proč je okolo toho takový humbuk

Cloud computig v praxi: předpovědi a trendy pro rok 2011

Komentáře

Sten #1
Sten 20. červen 2011 23:54

No ono už to, že se data šifrují někde mimo firmu (a zřejmě s přístupem k dešifrovaným datům třetími stranami, minimálně Googlem), je rozhodně dost velkou překážkou pro firemní nasazení. A nedoporučoval bych jej ani pro osobní nasazení.

qk #2
qk 22. červen 2011 13:39

Samozrejme ze vetsina rozumne velkych firem ma i vlastni cloud. Ostatne to neni az tak tezky a neni potreba moc stroju. Pak se dostavame zpatky k architekture klient/server, kdy data jsou na serveru a klient je jen tenka vrstva pro jejich zobrazeni.

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
RSS 

Zprávičky

Atos chce koupit konkurenta Gemalto za 4,3 mld. eur

ČTK , 12. prosinec 2017 14:00

Gemalto patří mezi největší světové výrobce SIM karet a čipů do platebních karet...

Více 0 komentářů

T-Mobile testuje NB-IoT, chystá novou síť pro Internet věcí

Pavel Houser , 12. prosinec 2017 13:30

Testování technologie NB-IoT začalo v Praze na Roztylech, v lednu přibude Mladá Boleslav. Operátor z...

Více 0 komentářů

ISP DNS Stack chrání doménu .CZ v případě útoku proti DNS serverům

Pavel Houser , 12. prosinec 2017 12:53

Sdružení CZ.NIC zvyšuje bezpečnost Internetu v ČR, na nové službě se zatím podílí Seznam.cz a Vodafo...

Více 0 komentářů

Starší zprávičky

Apple kupuje aplikaci pro rozpoznávání hudby Shazam

ČTK , 12. prosinec 2017 08:00

Shazam umožňuje uživatelům prostřednictvím mikrofonu chytrého telefonu identifikovat hudbu hrající v...

Více 1 komentářů

APEK: Dnes obrat za miliardu?

Pavel Houser , 11. prosinec 2017 13:04

Právě dnes očekává Asociace pro elektronickou komerci (APEK) vrchol objednávek vánočních dárků na in...

Více 0 komentářů

Termínový kontrakt na bitcoin při debutu stoupl až na 18 700 dolarů

ČTK , 11. prosinec 2017 10:39

Termínový kontrakt na internetovou měnu bitcoin při svém debutu ve Spojených státech zpevnil o více ...

Více 0 komentářů

Western Digital zruší arbitráž proti Toshibě

ČTK , 11. prosinec 2017 08:00

Japonská společnost Toshiba a americká firma Western Digital se v zásadě dohodly na urovnání sporu o...

Více 0 komentářů