Chrome OS, insicuro per design

Il sistema operativo realizzato da Google è affetto da fondamentali vulnerabilità difficili da chiudere una volta per tutte. Le stesse che affliggono la navigazione web su un PC propriamente detto

Roma – Chrome OS, il micro-sistema operativo basato su web e installato da Google sui suoi nuovi gadget tecnologici noti come Chromebook , non è affatto “blindato” e avulso da gravi problemi di sicurezza come Mountain View ha sin qui promesso. Anzi, il fatto di essere totalmente dipendente dalle tecnologie web lo espone a un livello di rischio molto più alto di quello normale, soprattutto per quanto riguarda la salvaguardia dei dati degli utenti.

A svelare gli altarini del nuovo OS di Google sono Matt Johansen e Kyle Osborn, hacker “white hat” intervenuti alla conferenza Black Hat che si tiene in questi giorni in quel di Las Vegas. Johansen e Osborn hanno dimostrato come poter abusare delle fondamentali vulnerabilità di Chrome OS per penetrare nell’account Gmail dell’utente – il tutto dal web e senza la necessità di installare un singolo bit di codice malevolo sulla macchina locale.

L’installazione di eventuale “malware” su Chromebook è nei fatti una strada preclusa ai cyber-criminali, perché il modello di sicurezza ideato da Google prevede che il sistema faccia il check-up all’avvio ed eventualmente ripristini una copia “pulita” di se stesso nel caso in cui venissero individuate differenze.

In compenso, lasciato l’utente in balia del web, delle “app” e dei servizi “tra le nuvole”, ai malintenzionato non serve altro che abusare del sistema di “estensioni” pensato da Mountain View per aggiungere funzionalità alla scarna ossatura di Chrome OS, “app” da acquistare e scaricare su un apposito store digitale e che necessitano di accedere alle informazioni dell’utente (credenziali di accesso, mail, documenti ma anche cookie) per operare correttamente.

Grazie all’ingegneria sociale, dicono i due ricercatori alla conferenza Black Hat, l’utente può essere spinto a installare estensioni malevole e a quel punto a rischio non è semplicemente la “macchina” ma lo sono tutti i dati ospitati sui server remoti . Le “nuvole” di Mountain View si trasformano in una trappola da cui è impossibile fuggire prima che l’attacco non abbia raggiunto il suo scopo nefasto.

A dimostrazione del fatto che le vulnerabilità di Chrome OS sono le stesse, pericolose “falle sistemiche” del moderno World Wide Web c’è poi l’altro vettore di attacco ipotizzato da Johansen e Osborn: se spingere all’installazione di una estensione malevola un buon numero di “vittime” può essere problematico, sfruttare eventuali – quanto prevedibilissime – vulnerabilità presenti all’interno di estensioni popolari per condurre ogni genere di nefandezze (attacchi XSS in primis) nei confronti degli utenti può essere molto più immediato e vantaggioso. Benvenuti nell’era della sicurezza sulle nuvole.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Pigro scrive:
    TERRORE
    Se è vero quello che c'è scritto nell'articolo... sono capperi amari!http://www.pcworld.com/article/237347/a_power_plant_hack_that_anybody_could_use.html
  • Il post che sto inserendo scrive:
    L'italiano
    <b
    Il premio Best Privilege Escalation Bug è stato riconosciuto a Microsoft per la scoperta del 40 peculiari qualità del Windows kernel win32k. </b
    Una frase senza nè capo nè coda... :(
    • Staff scrive:
      Re: L'italiano
      - Scritto da: Il post che sto inserendo
      <b
      Il premio Best Privilege Escalation
      Bug è stato riconosciuto a Microsoft per la
      scoperta del 40 peculiari qualità del Windows
      kernel win32k. </b



      Una frase senza nè capo nè coda... :(L'articolo serve solo per attirare un po' di troll nei commenti con le solite frasi fatte e far fare accessi al sito che poi guadagna coi banners.Non ti spaventare, è tutto normale
    • Sgabbio scrive:
      Re: L'italiano
      infatti che caccio vuol dire quella frase ?
      • Lucio, addome cianciugliante scrive:
        Re: L'italiano
        - Scritto da: Sgabbio
        infatti che caccio vuol dire quella frase ?Ci saranno almeno 5 errori fra quelli di logica, grammatica e ortografia in quella frase:1) un premio riconosciuto a Microsoft per la scoperta di un qualcosa presente nel sistema operativo da loro stessi creato... <b
        eh </b
        ?2) un premio assegnato dai Pwnie awards per la scoperta di "peculiari qualità"... doppio <b
        eh </b
        ??3) Il kernel win32k? Triplo <b
        eh </b
        ???4) "Del 40 peculiari"... (rotfl)5) Se si parla di kernel Win32 è ovvio che è Windows quindi anche se non avessero scritto "win32k", dire "Windows kernel win32" sarebbe stato errato.
    • orcoipod scrive:
      Re: L'italiano
      Pwnie for Best Privilege Escalation BugAwarded to the person who discovered or exploited the most technically sophisticated and interesting privilege escalation vulnerability. As more defense-in-depth systems like Mandatory Access Control and Virtualization are deployed, privilege escalation vulnerabilities are becoming more important. These vulnerabilities can include local operating system privilege escalations, operating system sandbox escapes, and virtual machine guest breakout vulnerabilities.Windows kernel win32k user-mode callback vulnerabilities (MS11-034)Credit: Tarjei MandtIn the span of a few months, Tarjei found more than 40 vulnerabilities in the Windows kernel. In his presentation at Infiltrate 2011, he described the details of these vulnerabilities and his kernel exploitation techniques.
      • Il post che sto inserendo scrive:
        Re: L'italiano
        - Scritto da: orcoipod
        Pwnie for Best Privilege Escalation Bug

        Awarded to the person who discovered or exploited
        the most technically sophisticated and
        interesting privilege escalation vulnerability.
        As more defense-in-depth systems like Mandatory
        Access Control and Virtualization are deployed,
        privilege escalation vulnerabilities are becoming
        more important. These vulnerabilities can include
        local operating system privilege escalations,
        operating system sandbox escapes, and virtual
        machine guest breakout
        vulnerabilities.

        Windows kernel win32k user-mode callback
        vulnerabilities
        (MS11-034)
        Credit: Tarjei Mandt

        In the span of a few months, Tarjei found more
        than 40 vulnerabilities in the Windows kernel. In
        his presentation at Infiltrate 2011, he described
        the details of these vulnerabilities and his
        kernel exploitation
        techniques.Beh, e ti sembra minimamente simile a quella frase scritta nell'articolo di PI? Leggendo la frase nell'articolo di PI non si capisce un XXXXX, non cita i nomi, non dice "vulnerabilità" ma "peculiari qualità" (!?!?) e dice che il premio è stato riconosciuto a Microsoft. Dimmi tu...
  • bubba scrive:
    il pezzo su sony e' divertente...
    in realta' i FAIL documentati dal pwnie sono 5... il pezzo sulle motivazioni del premio e' divertente.. leggetelo :)
Chiudi i commenti