Abrir Chrome OS

Hoy en Black Hat, una conferencia de seguridad informática en Las Vegas, los investigadores describieron cómo pudieron robar datos de Chrome OS, un sistema operativo creado por Google que requiere que el usuario haga casi todo a través de la Web. Al utilizar el diseño web del sistema operativo contra sí mismo, los investigadores pudieron acceder a los nombres y contraseñas de los usuarios, e incluso a la información bancaria. Si bien las vulnerabilidades específicas que explotaron pueden cerrarse, los investigadores dicen que no hay forma de bloquear la amenaza más amplia.

Google ha promocionado Chrome OS como un enfoque revolucionario de la informática y enfatizó su seguridad. Dado que las aplicaciones se ejecutan en la Web, los usuarios no ejecutarán software desactualizado, lo que normalmente los deja expuestos a vulnerabilidades de seguridad. El sistema también se actualiza automáticamente y se almacena poco en la computadora del usuario. Si un software malicioso intenta ingresar a una computadora Chrome, Google puede restaurar de forma remota el sistema operativo a un estado prístino. Estos aspectos deberían hacerlo menos vulnerable a virus y otras amenazas.

Pero los investigadores Matt Johansen y Kyle Osborn, de la empresa de seguridad de aplicaciones web White Hat Security, demostraron que pasar a la web conlleva sus propios peligros. No hay acceso al disco duro, pero no nos importa, dice Johansen. Buscamos información. No estamos intentando crear una botnet en tu Chromebook.



La pareja utilizó técnicas de piratería comunes. Tuvieron éxito casi de inmediato con un método llamado cross-site scripting. Esto implica inyectar una página web con código que se ejecuta en los navegadores de los visitantes del sitio. Luego, el código realiza tareas maliciosas en las máquinas de esos visitantes.

Chrome OS está diseñado para limitar el daño que esta técnica podría causar. Lo hace a través de una técnica llamada sandboxing, cuyo objetivo es evitar que lo que sucede en una pestaña del navegador afecte a otra. Johansen y Osborn utilizaron secuencias de comandos entre sitios para atacar las extensiones del navegador de Chrome OS, que normalmente agregan nuevas funciones.

En Chrome OS, las extensiones son más potentes que en otros navegadores y no están sujetas a las mismas reglas de la zona de pruebas que las pestañas del navegador. Eso se debe a que existen, en parte, para proporcionar funciones que afectan a varias pestañas. Estás hablando de una versión súper reducida del sistema operativo, dice Osborn, y están tratando de reconstruir la funcionalidad a través de extensiones.

Los investigadores descubrieron que las extensiones pueden obtener un acceso amplio a lo que sucede en las pestañas del navegador de los usuarios. Como tal, alguien podría usarlos para robar nombres de usuario y contraseñas, cookies e información del historial de navegación, incluida la información que proviene de sitios que no tienen vulnerabilidades.

Extensión de la amenaza: Chrome OS se basa en las extensiones del navegador, que se muestran aquí, para agregar funcionalidad completa al sistema operativo. Pero los investigadores dicen que también pueden abrir el sistema a amenazas de seguridad.

Los investigadores encontraron que muchas extensiones existentes tenían amplios permisos y eran vulnerables a las secuencias de comandos entre sitios. También demostraron que es posible crear extensiones maliciosas. Podrían disfrazarse, por ejemplo, como formas de obtener imágenes de estrellas del pop.

Los investigadores dicen que no hay forma de bloquear esta amenaza porque cualquiera puede crear una extensión y Google no las revisa antes de que estén disponibles para los usuarios. Casi siempre habrá algunas extensiones con vulnerabilidades de seguridad, lo que brinda a los piratas informáticos una forma de eludir las protecciones sólidas de Chrome OS.

Los investigadores también pudieron robar datos de Ultimo pase , un sistema de administración de contraseñas, tomando el control de una extensión diferente y usándola para abrir nuevas pestañas. Esto les permitió ver la información de la contraseña que LastPass insertó. Aunque LastPass cambió su sistema para que la información del usuario ya no se ingrese automáticamente, esto aún no protegería al usuario de un pirata informático que ingresó a través de una extensión maliciosa, dicen los investigadores. Un pirata informático solo tendría que esperar hasta que el usuario abriera una nueva pestaña.

¿De quién es el problema en general? Johansen dice, señalando que tanto Google como los creadores de extensiones pueden tener la responsabilidad de protegerse contra el ataque.

Google ha solucionado los problemas con sus propias extensiones y se está poniendo en contacto con los fabricantes de extensiones que pueden ayudar. El viernes, la empresa publicó una entrada en el blog. enfatizando el poder de la seguridad integrada de Chrome: seguimos mejorando funciones como nuestra API de navegación segura y nuestro modelo de extensiones que ayudan a proteger a los usuarios del contenido web malicioso. Aún así, Google dice que los usuarios deben tener cuidado con los permisos que otorgan a las extensiones y a dónde viajan en la Web.

Google también ha emitido pautas para desarrolladores sobre la escritura de extensiones de forma más segura. Y la próxima versión de Chrome también admitirá un política de seguridad de contenido diseñado para reducir el riesgo de ataques de secuencias de comandos entre sitios.

Esta conversación es sobre la web, no sobre Chrome OS, dice una declaración de Google. [Las computadoras que ejecutan Chrome] elevan las protecciones de seguridad en el hardware informático a nuevos niveles. También están mejor equipados para manejar los ataques web que pueden afectar a los navegadores en cualquier dispositivo informático, gracias en parte a un modelo de extensiones cuidadosamente diseñado y la seguridad avanzada disponible a través de Chrome que muchos usuarios y expertos han adoptado.

En otras palabras, trasladar la experiencia informática por completo a la Web puede resolver un conjunto de problemas de seguridad mientras abre una caja llena de otros nuevos.

esconder