מומחה אבטחה הצליח לפרוץ את Chrome OS – מערכת ההפעלה של גוגל

מאט ג'ונסון, מומחה אבטחה אמריקני בחברת WhiteHat Secutiry, החליט להוכיח את פגיעותן של ההרחבות (Extensions) במערכות ההפעלה דוגמת Chrome OS מבית גוגל (Google), ולצורך כך הפגין כיצד הוא פורץ למערכת ההפעלה החדשה של גוגל. הוא עשה זאת לקראת כנס האבטחה Black Hat, שייפתח בתחילת אוגוסט בארצות הברית.

על פי קביעתו, היישומים הם נתיבי ההתקפה השכיחים במקרה של התקנים ניידים, אבל במערכות הפעלה דוגמת Chrome OS, ההרחבות יהיו הנתיב בו ישתמשו פורצי המחשבים כדי לחדור למערכת ההפעלה ולנתוני המשתמשים. כדי להוכיח זאת, כאמור, הפגין ג'ונסון כיצד הוא פורץ למערכת ההפעלה החדשה של גוגל.

כדי לבצע את הפריצה, השתמש ג'ונסון בנייד מסוג CR-48 Beta – המחשב שחילקה גוגל לנסיינים כדי שיבדקו את מערכת ההפעלה. אמנם מאז הושקו מחשבי ChromeBook – גרסת הייצור של מחשבים מבוססי Chrome OS, אך לטענתו של ג'ונסון, ההרחבות ישפיעו באופן שונה על כל התקן שיריץ את מערכת ההפעלה.

בעת הפריצה השתמש ג'ונסון ב-ScratchPad – הרחבה לכתיבת פתקאות שמגיעה כברירת מחדל במערכת ההפעלה, ואשר ניתנת לסנכרון עם Google Docs. להרחבה יש הרשאות רבות, כולל תכונת סימון פתקים שמאפשרת לשתף ספריות של ההרחבה. בהדגמה הראה כיצד שיתוף של פתק שהכיל קוד זדוני מאפשר לגנוב את רשמית הקשרים לאחר פתיחתו במחשב המטרה.

ג'ונסון דיווח על הפגיעות לגוגל, שכבר הוציאה עדכון לבעיה, אך לדבריו ניתן לפרוץ בקלות יחסית גם באמצעות שימוש בהרחבות אחרות, אותן הוא יחשוף בכנס עצמו. עוד אמר, כי מכיוון שרוב ההרחבות ייכתבו על ידי מפתחים עצמאיים, מדובר בשטח התקפה חדש ואין לו ספק שהפגיעויות יהיו רבות.