Craquer pour ouvrir Chrome OS

Aujourd'hui, à Black Hat, une conférence sur la sécurité informatique à Las Vegas, des chercheurs ont décrit comment ils ont pu voler des données de Chrome OS, un système d'exploitation construit par Google qui oblige l'utilisateur à faire presque tout via le Web. En utilisant la conception Web du système d'exploitation contre lui-même, les chercheurs ont pu accéder aux noms et mots de passe des utilisateurs, et même aux informations bancaires. Alors que les vulnérabilités spécifiques qu'ils ont exploitées peuvent être fermées, les chercheurs disent qu'il n'y a aucun moyen de bloquer la menace plus large.





Google a présenté Chrome OS comme une approche révolutionnaire de l'informatique et a souligné sa sécurité. Étant donné que les applications s'exécutent sur le Web, les utilisateurs n'exécuteront pas de logiciels obsolètes, ce qui les expose généralement à des failles de sécurité. Le système est également mis à jour automatiquement et peu est stocké sur l'ordinateur de l'utilisateur. Si un logiciel malveillant essaie de s'introduire sur un ordinateur Chrome, Google peut restaurer à distance le système d'exploitation dans un état impeccable. Ces aspects devraient le rendre moins vulnérable aux virus et autres menaces.

Mais les chercheurs, Matt Johansen et Kyle Osborn, de la société de sécurité des applications Web White Hat Security, ont démontré que le passage au Web comporte son propre ensemble de dangers. Il n'y a pas d'accès au disque dur, mais on s'en fiche, dit Johansen. Nous sommes à la recherche d'informations. Nous n'essayons pas de créer un botnet sur votre Chromebook.

La paire a utilisé des techniques de piratage courantes. Ils ont réussi presque immédiatement avec une méthode appelée script inter-sites. Cela consiste à injecter dans une page Web du code qui s'exécute dans les navigateurs des visiteurs du site. Le code effectue ensuite des tâches malveillantes sur les machines de ces visiteurs.



Chrome OS est conçu pour limiter les dommages que cette technique pourrait causer. Il le fait via une technique appelée sandboxing, qui vise à empêcher ce qui se passe dans un onglet du navigateur d'affecter un autre. Johansen et Osborn ont utilisé des scripts intersites pour attaquer les extensions de navigateur de Chrome OS, qui ajoutent généralement de nouvelles fonctionnalités.

Dans Chrome OS, les extensions sont plus puissantes que dans les autres navigateurs et ne sont pas soumises aux mêmes règles de bac à sable que les onglets du navigateur. C'est parce qu'ils existent, en partie, pour fournir des fonctions qui affectent plusieurs onglets. Vous parlez d'une version ultra-réduite du système d'exploitation, dit Osborn, et ils essaient de reconstruire les fonctionnalités via des extensions.

Les chercheurs ont découvert que les extensions peuvent obtenir un large accès à ce qui se passe dans les onglets du navigateur des utilisateurs. En tant que tel, quelqu'un pourrait les utiliser pour voler des noms d'utilisateur et des mots de passe, des cookies et des informations sur l'historique de navigation, y compris des informations provenant de sites qui ne présentent pas eux-mêmes de vulnérabilités.



Extension de la menace : Chrome OS s'appuie sur les extensions de navigateur, illustrées ici, pour ajouter des fonctionnalités complètes au système d'exploitation. Mais les chercheurs disent qu'ils peuvent également ouvrir le système aux menaces de sécurité.

Les chercheurs ont découvert que de nombreuses extensions existantes disposaient de larges autorisations et étaient vulnérables aux scripts intersites. Ils ont également montré qu'il est possible de créer des extensions malveillantes. Ils pourraient être déguisés, par exemple, en moyens d'obtenir des images de pop stars.

Les chercheurs disent qu'il n'y a aucun moyen de bloquer cette menace car n'importe qui peut créer une extension, et Google ne les examine pas avant qu'elles ne soient mises à la disposition des utilisateurs. Il y aura presque toujours des extensions avec des failles de sécurité, donnant aux pirates un moyen de contourner les protections par ailleurs solides de Chrome OS.



Les chercheurs ont également réussi à voler des données de Dernier passage , un système de gestion des mots de passe, en reprenant une extension différente et en l'utilisant pour ouvrir de nouveaux onglets. Cela leur a permis de voir les informations de mot de passe insérées par LastPass. Bien que LastPass ait changé son système afin que les informations de l'utilisateur ne soient plus saisies automatiquement, cela ne protégerait toujours pas un utilisateur d'un pirate informatique qui s'est introduit via une extension malveillante, selon les chercheurs. Un pirate informatique n'aurait qu'à attendre que l'utilisateur ouvre un nouvel onglet.

À qui est ce problème dans l'ensemble? Johansen dit, notant que Google et les fabricants d'extensions peuvent avoir la responsabilité de se protéger contre l'attaque.

Google a résolu les problèmes avec ses propres extensions et contacte les fabricants d'extensions qui pourraient être en mesure de vous aider. Vendredi, la société a publié une entrée de blog soulignant la puissance de la sécurité intégrée de Chrome : nous continuons d'améliorer des fonctionnalités telles que notre API de navigation sécurisée et notre modèle d'extensions qui aident à protéger les utilisateurs contre le contenu Web malveillant. Pourtant, Google dit que les utilisateurs doivent faire attention aux autorisations qu'ils accordent aux extensions et où ils voyagent sur le Web.



Google a également publié directives pour les développeurs sur l'écriture d'extensions de manière plus sécurisée. Et la prochaine version de Chrome prendra également en charge un politique de sécurité du contenu conçu pour réduire le risque d'attaques de scripts intersites.

Cette conversation porte sur le Web, pas sur Chrome OS, selon une déclaration de Google. [Ordinateurs exécutant Chrome] élèvent les protections de sécurité sur le matériel informatique à de nouveaux niveaux. Ils sont également mieux équipés pour gérer les attaques Web qui peuvent affecter les navigateurs sur n'importe quel appareil informatique, en partie grâce à un modèle d'extensions soigneusement conçu et à la sécurité avancée disponible via Chrome que de nombreux utilisateurs et experts ont adoptée.

En d'autres termes, déplacer entièrement l'expérience informatique vers le Web peut résoudre un ensemble de problèmes de sécurité tout en ouvrant une boîte pleine de nouveaux.

cacher