3 skäl till att Chromebook inte löser digitala säkerhetsproblem

Googles ChromeOS vid första anblicken är något av en touchdown för operativsystemsäkerhet. Det är förmodligen det säkraste operativsystemet i världen (på bekostnad av begränsad funktionalitet Allt du behöver veta om att byta till en Chromebook Allt du behöver veta om att byta till en Chromebook Chromebooks kör ett slimmat operativsystem optimerat för att komma igång webben med bara Chrome-webbläsaren och Chrome-appar. Kan du växla till en Chromebook? Läs mer). Tyvärr är ChromeOS inte ett panacea, och allvarliga säkerhetsproblem kring plattformen förblir.

För det första, de goda nyheterna:

ChromeOS (det avvecklade Linux-operativsystemet som körs på billiga Chrome-märkta netbooks Toshiba CB35-A3120 Chromebook Review och Giveaway Toshiba CB35-A3120 Chromebook Review och Giveaway Du kan få några riktigt billiga Chromebooks om du har det bra med att få en 11,6- tums display. Läs mer) har en massa riktiga funktioner för säkerhetsmedvetna användare. Uppstartskoden lagras i skrivskyddad minne och kontrollerar den digitala signaturen för operativsystemet innan den startas upp (den “verifierad start” funktion). Eftersom bootloader är i ROM kan hackare inte möjligen ändra det utan att fysiskt manipulera med chipet. Om systemfiler misslyckas kontrolleras startläsaren helt enkelt hela maskinen till fabriksinställningarna, förstör eventuella skadliga kod som kan ha lagts in.

Plattformens säkerhet stärks ytterligare, eftersom den är baserad på webapps, som körs i en sandlåda: deras trådar och minne hålls separata, vilket teoretiskt hindrar en skadlig webapp från att få tillgång till information eller ta kontroll över andra appar. Systemuppdateringar som innehåller säkerhetsskorrigeringar tillämpas automatiskt och osynligt när datorn är ansluten till nätverket, för att säkerställa att Chromebooks alltid är aktuella. Det finns även några säkerhetsalternativ. Säkra din Chromebook med två enkla tweaks Säkra din Chromebook med två enkla tweaks En av de mest utmärkta fördelarna med en Chromebook är dess säkerhet. Men finns det några steg som ägarna kan ta som kommer att förbättra och förbättra den nuvarande skyddsnivån? Läs mer du kan aktivera för att skydda enheten från angripare med fysisk åtkomst till enheten. Att försöka få skadlig kod på en ChromeOS-maskin är inte en avundsvärd uppgift. Du kan läsa mer om ChromeOS-plattformens säkerhet här.

Så vad är problemet?

Du kan inte lita på sandlådan

Tyvärr är säkerheten som erbjuds av webbsandbokning i stor utsträckning informell och okunnig. Massor av sandlådor, inklusive Java, har upptäckt buggar som möjliggjorde att applikationer kommer ut ur dem och utför godtyckliga instruktioner på maskinen. Chrome själv har haft sandlåtsbrytande attacker som demonstrerats mot det av svarthatthackare. Dessa specifika utnyttjanden är nu fasta, men det finns ingen garanti för att det inte finns mer. Rik Ferguson, en säkerhetsforskare, uttrycker det så här:

“Utnyttjande som bryter ut med sandlåda har redan visats för Internet Explorer, för Java, för Google Android och naturligtvis för Chrome-webbläsaren (för att bara nämna några), medan Google-sandlådan är effektiv, är det inte ogenomträngligt och att lita på Den för 100 procent säkerhet skulle vara kortsynt.”

Den värsta förövaren här är den interaktiva webben, särskilt webGL, en implementering av OpenGL (ett gemensamt grafikbibliotek) som är avsett att användas i webbläsare. Med WebGL kan du köra grafiskt imponerande 3D-demos från din webbläsare, vilket är riktigt coolt (som exempel), men det är tyvärr också en mardröm för säkerhet. WebGL tillåter webapps att skicka godtyckliga shaderinstruktioner till maskinens grafikkort, vilket möjliggör en hel fantasibel regnbåge med eventuellt sandboxbrottande utnyttjande. Microsofts officiella position är att webGL är för osäker för internt bruk:

“WebGLs säkerhet som helhet beror på lägre nivåer av systemet, inklusive OEM-drivrutiner, upprätthållande av säkerhetsgarantier som de aldrig riktigt behöver oroa sig för tidigare. Anfall som tidigare kun har resulterat i lokal höjning av behörighet kan nu leda till fjärrkompromiss. Även om det kan vara möjligt att mildra dessa risker i viss utsträckning, är den stora attackytan som exponeras av WebGL fortfarande en oro. Vi förväntar oss att se fel som endast finns på vissa plattformar eller med vissa grafikkort, vilket möjligen kan underlätta riktade attacker.”

Du kan inte lita på molnet

Ännu värre än möjliga hot mot sandlådan är dock plattformens natur. Chromebooks, beroende på design, beror tungt på molnet. Om du oavsiktligt förstör din Chromebook (t.ex. genom att kliva på den eller släppa den i en smältbergsjö), är dina data inte borta. Du kan bara köpa en ny, logga in och få tillbaka alla dina data och inställningar.

Tyvärr utsätts användaren för stor risk för ekvationens molnsida. Sean Gallagher av Ars Technica påpekar i hans redaktionella “Varför NSA älskar Google Chromebook,” Vi vet att NSA har haft (och kan fortfarande ha) invasiva bakdörrar i Googles molnlagring och kan använda det för att spionera alla filer från Drive-användare, inklusive de som använder Chromebooks. Som Gallagher säger det,

“Inget av detta är nödvändigtvis Googles fel. Men det är en svaghet i webbläsaren som plattform - genom att trycka nästan alla datortillgångar för applikationer, förutom presentationen, tillbaka upp i molnet, skapar Chromebook-modellen en one-stop-butik för angripare eller observatörer att injicera sig i din dators värld.”

Det är inte bara NSA, heller. Medan den betrodda startladdaren kan skydda dig mot långvariga och skadliga ändringar av operativsystemet som rapporterar om dina aktiviteter kan även en enda säkerhetsbrott i en webapp räcka för att stjäla dina nycklar och autentiseringsuppgifter, som en angripare då kan använda för att komma åt dina molndata och bläddra på dem på egen hand.

Native Apps kommer

För att göra saken värre är ChromeOS sandlåda inte ett särskilt rent paradigm: webbläsarens tillägg som körs ovanpå webbsidor, som Adblock Plus och Google Translate, är inbyggda kod som körs på maskinen och de kan göra alla typer av otäcka saker ( inklusive visning av adware och spionering på dina lösenord). Det finns även tillägg som du kan ladda ner som upptäcker och tar bort andra skadliga tillägg - en form av antivirusprogrammet som ChromeOS inte behöver behöva. Till Googles kredit kommer ChromeOS bara att installera appar från Chrome-tilläggsbutiken som redan har skett genom Googles godkännandeprocess. Tyvärr beror den vettingprocessen på mänsklig bedömning, och de garantier som åstadkommes genom att vetting är mycket svagare än de som tillhandahålls av bra sandlåda.

Det blir sämre: Google planerar att implementera inhemska appar i form av Android-appar, springa i ChromeOS via ett gränssnittslager. Dessa skulle vara inbyggda appar som introducerar en hel bredd och djupet av säkerhetshänsyn till ChromeOS, och de säkerhetsproblemen görs mer allvarliga av den relativa sårbarheten hos molnet till nyckelstöld. Brott är allvarligare när de är osynliga och ihållande.

Nu kan alla Android-appar som tillåts på ChromeOS givetvis noggrant bedömas av Googles team för skadlig kod, men det är helt enkelt inte en tillräckligt stark garanti för att hänga maskinens säkerhet. Även om koden inte är skadlig kommer de nästan säkert med sina egna exploater och sårbarheter som kan användas för att få åtkomst till operativsystemet. Inbyggd kod är farlig och bryter mot säkerhetsprinciperna som är avsedda att hålla ChromeOS säkra.

ChromeOS: Säker, men oro föreligger

Det är värt att ta en stund här för att upprepa att ChromeOS är mycket säkra. Om du använder Windows, Linux eller OSX, är ChromeOS språng säkrare. Faktum är att det är sant för i princip alla operativsystem utom Plan 9, ett hypersäkert operativsystem så obskyrligt att det undviker skadlig kod åtminstone delvis genom att inte ha något "ware" att tala om. Ta emellertid inte som en ursäkt för att vara vårdslös: allvarliga säkerhetshinder om ChromeOS kvarstår, och det är värt att vara uppmärksam på dem när du litar på din dator med känslig information.

Bildkrediter: Hacker med en bärbar dator via shutterstock, “Kromspetspinne” av Stephen Shankland, “Chromebook“, av slgckgc, “Chromebook fototest“, av ?? ?, “Kryha-Chiffriermaschine, Kryha-Encryption Device“, av Ryan Somma

Utforska mer om: Chromebook, Cloud Computing, Google Chrome, Online-säkerhet.