米国ネバダ州ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2011」で、研究者が「Google Chrome OSのハッキング」をテーマに発表を行った。
英セキュリティ企業のSophosのブログによれば、研究者のマット・ジョンソン氏とカイル・オズボーン氏は、「全てがWebブラウザの拡張機能として実行される」というChromeBookの設計について調べた。
Chrome OSを搭載したGoogleのChromeBookでは、ユーザーがコードをダウンロードしたりインストールしたりすることはできず、Chromeの拡張機能をダウンロードして利用する形を取っている。このためGoogleは、ChromeBookがマルウェアに感染することはないとうたっている。
しかし両氏の研究の結果、ChromeBookでJavaScriptのコードを実行している場合、クロスサイトスクリプティング(XSS)攻撃を受ける恐れがあることが判明したという。この問題はGoogle Chrome OSとWebブラウザの両方に影響を及ぼし、Googleも両氏に協力してリスク回避のための対策を進めているという。
また、悪意のあるアプリケーションをChrome Web Storeにアップロードすることも簡単にできてしまうという問題も指摘された。ただ、こうしたアプリケーションが多数のユーザーを獲得するのは困難だが、既存の人気アプリケーションに脆弱性がある場合は、攻撃者にブラウザセッションに乗っ取られる恐れもあるという。
Chrome Web Storeで公開されている拡張機能は、セキュリティに配慮した設計になっていないものも多く、「ChromeやChromeBook向けのプラグインはよく考えてからインストールした方がいい」とSophosの研究者は助言している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR