当前位置:主页 > M生活化 >

Chrome OS 安全性失守,Black Hat 黑帽大会


2020-05-24


Chrome OS 安全性失守,Black Hat 黑帽大会Google 声称 Chrome OS 很安全,不过 Chromebook 自6月上市以来,不时有专家提出安全性疑虑;本週 Black Hat 黑帽大会中,WhiteHat Security 研究人员表示已经成功破解Chrome OS,可直接观看Gmail、Google文件、Google Voice、通讯录等线上内容。

Google宣称Chrome OS的安全性优于其他作业系统,不过在本週的Black Hat黑帽大会上,WhiteHat Security研究人员Matt Johanson和Kyle Osborn表示已经成功破解系统,可观看用户的Gmail、Google文件、Google Voice、通讯录等线上内容,甚至还能下载通讯录。他们去年开始用CR-48笔记型电脑进行测试时,就发现许多安全性问题。

他们发现Chrome OS其中一款ScratchPad扩充套件存在着漏洞(ScratchPad是能将笔记存在Google文件的云端笔记本),能透过恶意JavaScript程式取得用户资料,可看到的内容程度端看取得的权限;这也突显出另一个问题,当使用者透过扩充套件把文件档案同步到Google文件时,多数人并没有意识到要取消档案和资料夹的分享功能,这种缺乏结构化的风险大大增加安全风险。另外还有一款RSS阅读器,竟然能拿来破解LassPass线上密码管理,但这并不是LassPass本身的问题。

研究人员指出有一些扩充套件取得太多的权限,例如RSS阅读器、Email通知程式等,要求可以登入所有google.com的子网域,并存取书籤、Cookie、历史纪录、分页等,这都让有心人士可以拿来利用,取得这些储存在Google上的资料,如连络人清单、语音帐户,并以CSV格式将全部列表汇出。他们希望Google能制定更严格的API标準,例如使用沙盒标籤(sandboxing tabs)让扩充套件之间无法对话,并移除本地储存的功能。

Chrome OS 安全性失守,Black Hat 黑帽大会

▲Black Hat黑帽大会上,WhiteHat Security研究人员Matt Johanson(图右)和Kyle Osborn(图左)表示已经成功攻破Chrome OS,可取得存放在Google云端上的资料。

Chrome OS 安全性失守,Black Hat 黑帽大会

▲WhiteHat Security研究人员展示破解Chrome OS的画面。

Chrome OS 安全性失守,Black Hat 黑帽大会Chrome OS 安全性失守,Black Hat 黑帽大会

▲今年Computex展中,Google大力宣传Chrome OS的安全性,现在看起来有些讽刺。

资料、图片来源:CNet



上一篇:
下一篇: