Chrome OS cracket på Black Hat

Sårbare «Chrome Extensions» gjør systemet mottakelig for passordfangst.

I forbindelse med ferdigstillelsen av Chrome OS i vinter, fikk IT-sikkerhetsselskapet White Hat Security i oppdrag å granske det nye pc-operativsystemet som i hovedsak bare omfatter en nettleser og som forutsetter at alle applikasjoner og all data bor i nettskyen.

Chrome OS brukes i den bærbare pc-en «Chromebook» som er tilgjengelig i noen land, fra Acer og Samsung. En prototyp, kalt Cr-48, har vært fordelt til utvalgte interesserte, blant dem IT-rådgiver Bjørn Venn i Akershus fylkeskommune som i juni publiserte sine erfaringer på digi.no: En måned med Google Chrome OS.

På hackersamlingen Black Hat i Las Vegas i går gjennomgikk White Hat-ekspertene Matt Johansen og Kyle Osborn resultatene av flere måneders intenst arbeid med å granske sikkerheten i Chrome OS, i en presentasjon kalt Hacking Google Chrome OS.

Johansen og Osborn bekrefter at de grunnleggende egenskapene til Chrome OS gjør den fri for sårbarheter som er typiske for vanlige pc-operativsystemer som Windows, Mac OS X og Linux. Chrome OS er blant annet immun mot virus. En sandkasseteknologi brukes for å hindre samtidig kjørende programmer fra å utveksle data med hverandre. Operativsystemet oppdateres automatisk og kontinuerlig, og kan ikke misbrukes til å bygge botnett.

Forskerne sier de likevel har funnet en rekke «alvorlige og fundamentale» sårbarheter i selve oppbyggingen av Chrome OS.

Disse vil kunne utnyttes til å ramme brukere uten at de avkreves mer enn ett museklikk. I presentasjonen på Black Hat viste de hvordan uvedkommende kan misbruke disse sårbarhetene til å kapre ofrenes e-post, kontaktlister og dokumenter, overta kontrollen over deres Google-konto – som i Chrome OS er betingelsen for alt arbeid på pc-en – og samle informasjonskapsler fra domenene ofrene besøker.

Den grunnleggende sikkerhetssvakheten til Chrome OS henger sammen med selve konseptet: I utgangspunktet kan ikke «alt» gjøres i en nettleser. Følgelig trengs en ordning med utvidelser, altså «extensions». Disse utvidelsene er en form for applikasjon som skal sikre en bestemt funksjonalitet i samspillet mellom en nettleser og et nettsted. De distribueres gjennom Chrome Web Store, og bygges ved hjelp av programmeringsgrensesnitt (API-er) mot Googles sentrale tjenester.

Sårbarhetene skyldes flere faktorer. Den letteste å fikse er at ingen ansvarlig instans klarerer utvidelsene eller applikasjonene som legges ut i Chrome Web Store. Johansen og Osborn opplevde at ikke en gang kode med navn som «Cookie Stealer» eller «Malicious Extension» ble nektet opplasting eller fjerne automatisk. Det innebærer at det er fritt fram for ondsinnede personer å legge ut trojanere, i form av utvidelser som ikke bare utfører det brukeren vil, men også gjør ondskapsfulle ting uten at brukeren ser det.

Manglende klarering av utvidelser er også et problem fordi legitime applikasjoner kan inneholde egne sårbarheter. Dersom den legitime applikasjonen har nødvendige rettigheter for å bore gjennom operativsystemets sandkasser – noe som kan være påkrevd – åpner det klare muligheter for hackere.

Ifølge Johansen og Osborn forsterkes dette problemet av noe som også er kjent fra Android og fra nettleseren Chrome: API-ene er ofte for åpne, og utviklere fristes til ikke å innskrenke en applikasjons rettigheter til det strengt nødvendige.

På Black Hat viste de to et eksempel på hvordan en sårbarhet i én utvidelse kan brukes til å hente informasjon fra en ellers sikker tjeneste: De brukte en feil i en RSS-leser til å hacke et offers LastPass-konto. LastPass er en tjeneste som sikrer brukerens passord.

Det er selvfølgelig legitimt for en RSS-leser å bore gjennom sandkasser, siden hele poenget er å åpne andre nettsider. Det lykkes Johansen og Osborn til å åpne et LastPass-vindu gjennom RSS-leseren. De injiserte Javascript-kode for å kapre den lokale krypteringsnøkkelen samt passorddatabasen, og kunne følgelig lese alle offerets passord.

LastPass ble varslet om dette i forkant av Black Hat-konferansen, og krever nå manuell innlogging også etter at et LastPass-vindu er åpnet.

De to forskerne oppsummerer at mulighet for krysskripting mot sårbarheter i utvidelser til Chrome OS er en grunnleggende svakhet i operativsystemet. De beskriver Google som mottakelig for kritikk, og ber først og fremst om at API-ene gjøres mer restriktive.

Google har reagert blant annet ved et innlegg på Chromium Blog: Writing Extensions More Securely.

Kilder
Technology Review
Cnet Download Blog
Information Week
The Register
Venture Beat
SC Magazine
Search Security

Til toppen