Quando Google ha annunciato Chrome OS, uno degli aspetti più pubblicizzati è stata la maggiore sicurezza rispetto agli altri sistemi operativi. I Chromebook sono arrivati sul mercato da pochi mesi, ma alcuni ricercatori di sicurezza avrebbero ora già scoperto un primo modo per bypassare le difese di Google.
Durante la conferenza Black Hat, in corso di svolgimento a Las Vegas, Matt Johanson e Kyle Osborn, due ricercatori della White Hat Security, hanno mostrato come sia possibile compromettere la sicurezza di Chrome OS e rubare dati sensibili come nome utente, password e informazioni bancarie. Sui Chromebook non è possibile installare applicazioni, ma solo estensioni del browser Chrome, e proprio questa caratteristica può essere sfruttata da un malintenzionato per entrare nel computer dell’utente.
Google impedisce l’utilizzo di software aggiuntivo proprio per evitare che le vulnerabilità non corrette possano lasciare la porta aperta a virus o malware di vario tipo. Per aggiungere funzionalità al sistema operativo, l’utente può installare piccole applicazioni presenti sul Chrome Web Store. Il problema nasce dal fatto che Google non effettua controlli rigidi e chiunque può pubblicare app sviluppate esclusivamente per eseguire compiti indesiderati sul sistema.
I ricercatori sono riusciti ad attaccare il sistema operativo mediante una tecnica nota come cross-site scripting (XSS) che consente ad un malintenzionato di eseguire codice JavaScript, sfruttando appunto i permessi concessi alle estensioni per interagire con Google Chrome. Johanson e Osborn hanno anche scoperto una vulnerabilità in ScratchPad, un’applicazione preinstallata, che metteva a rischio molti dati dell’utente quali i contatti, la posta di Gmail e la cronologia delle chiamate. Google ha immediatamente chiuso questo bug, ma altre vulnerabilità sono state individuate in diverse applicazioni.
Secondo i due ricercatori, l’unico modo per bloccare questi pericoli è rivedere tutto il sistema delle estensioni, effettuando controlli più accurati prima della loro pubblicazione sullo store.