「Google Chrome OSをハッキングできるのか」――Black Hatで研究者が発表
ChromeBookでJavaScriptのコードを実行している場合、クロスサイトスクリプティング(XSS)攻撃を受ける恐れがあることが判明したという。
米国ネバダ州ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2011」で、研究者が「Google Chrome OSのハッキング」をテーマに発表を行った。
英セキュリティ企業のSophosのブログによれば、研究者のマット・ジョンソン氏とカイル・オズボーン氏は、「全てがWebブラウザの拡張機能として実行される」というChromeBookの設計について調べた。
Chrome OSを搭載したGoogleのChromeBookでは、ユーザーがコードをダウンロードしたりインストールしたりすることはできず、Chromeの拡張機能をダウンロードして利用する形を取っている。このためGoogleは、ChromeBookがマルウェアに感染することはないとうたっている。
しかし両氏の研究の結果、ChromeBookでJavaScriptのコードを実行している場合、クロスサイトスクリプティング(XSS)攻撃を受ける恐れがあることが判明したという。この問題はGoogle Chrome OSとWebブラウザの両方に影響を及ぼし、Googleも両氏に協力してリスク回避のための対策を進めているという。
また、悪意のあるアプリケーションをChrome Web Storeにアップロードすることも簡単にできてしまうという問題も指摘された。ただ、こうしたアプリケーションが多数のユーザーを獲得するのは困難だが、既存の人気アプリケーションに脆弱性がある場合は、攻撃者にブラウザセッションに乗っ取られる恐れもあるという。
Chrome Web Storeで公開されている拡張機能は、セキュリティに配慮した設計になっていないものも多く、「ChromeやChromeBook向けのプラグインはよく考えてからインストールした方がいい」とSophosの研究者は助言している。
関連記事
- GoogleのChromebook、米国で発売――Acer製はまだ
Samsung製のChromebook「Series 5」がAmazon.comとBest Buyで発売されたが、Acerの製品は遅れているようだ。 - 「Chrome OSはクラウドを実現する」――GoogleのシュミットCEO
Chrome OSを披露したイベントで、シュミットCEOは「WindowsおよびMacと並ぶ第3の選択肢を提供する」と語った。 - Google Chrome OSのセキュリティはどうなっている?
GoogleはChrome OSで、従来とは違う「Webアプリのセキュリティモデル」を採用。アプリを「敵」であるかのように扱うことで、OSを守るという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.