一位独立研究人员再次发现谷歌操作系统Chrome OS重大安全漏洞,谷歌完全基于互联网概念的Chrome OS系统安全性能遭受质疑。
综合媒体6月29日报道,谷歌公司(Google Inc)曾吹嘘那些运行其最近推出的谷歌Chrome操作系统(Chrome OS)的电脑比传统个人电脑安全性要高很多,部分是因为在Chrome OS中,所有的用户数据都在线储存在云端,而非储存在硬盘介质里。
但一家独立电脑安全系统公司的研究人员发现,Chrome OS对于在线处理的强烈依赖使其易受通过网站和浏览器方式实现的网络恶意攻击所害,过去数年来这种黑客攻击手段已经屡见不鲜。
Matt Johansen是这家名为WhiteHat Security电脑安全系统公司的研究人员,此前他发现了Chrome OS中一项具有记事本功能的扩展程序存在漏洞,他通过该程序的漏洞获得并控制了一个谷歌邮件服务GMail的账号。他将该漏洞报告给谷歌,谷歌修复了该漏洞,并且给了这位研究者1000美元的酬劳。
不过,Johansen表示,他随后发现Chrome OS其他一些应用程序中存在同样的安全漏洞。
他表示,“这只是冰山一角,形势还在不断演变,我们可以看到,Chrome OS正成为恶意软件新的乐园”。
谷歌自信其推出的完全基于互联网的Chrome OS系统将重塑过去数十年来根深蒂固的由微软(Microsoft Corp)和苹果(Apple Corp)两家公司垄断控制的操作系统市场大局。6月早些时候第一台配备Chrome OS的笔记本电脑由三星正式面向市场发布,目前市场评价不一,好坏兼有,有一些资深科技界人士表示,一个完全基于互联网概念、永远保持联网状态的个人电脑也许在概念上过于超前,当前并不一定获得主流市场用户理解和支持。
Johansen表示,入侵Chrome OS的关键之一就是在数据由Chrome浏览器和云端之间传输时设法捕获数据。
Johansen说,“在你在浏览器中使用网银服务、登录facebook或者使用Email的时候我当然无法获得你的个人数据,但如果我能够利用某种同样基于互联网的在线扩展程序来获得对那些数据的访问权,那我才不在乎你硬盘上有什么数据呢”。
不过Johansen拒绝指出具体有哪些扩展程序存在安全漏洞。他和同事Kyle Osborn决定目前对此保密,并等到8月份在拉斯维加斯举行的著名黑客技术会议Black Hat上公布。
不过这些程序都属于从谷歌在线商店(Google Chrome Web Store)下载,在Chrome浏览器内安装并运行的扩展程序(extensions)。
而大量的Chrome扩展程序都是由独立程序员而非谷歌官方开发的。
Johansen表示,Chrome扩展程序的问题与Chrome OS的一项涉及漏洞有关:操作系统给扩展程序彻底的访问云端数据的权限。他说,“Chrome给予这些扩展程序的信任程度高过其对任何一家网站的信任”。
谷歌公司高管表示,他们正着手完善测试识别扩展程序弱点的筛选程序,对于有问题的扩展程序将从在线商店删除。
Chrome OS项目主管Caesar Sengupta表示,他们正摸索自动识别有问题扩展程序的不同手段和方案,但谷歌不希望让扩展程序开发者感到在谷歌在线商店发布软件成为程序繁复的拖累。他说,“我们正努力创建一个开放的系统,就行互联网本身一样”。
一位帮助Chrome OS开发安全系统的专家Alex Stamos表示,单单根据来自一家独立电脑安全系统公司的研究人员的研究成果就对该全新操作系统的整体安全性能指手画脚是不公平的。他说,“也许现在安全性能不算很完美,但我们的系统仍然比windows系统或者Mac系统在安全性能上好很多”。