فتح Chrome OS

وصف الباحثون اليوم في مؤتمر Black Hat ، وهو مؤتمر لأمن الكمبيوتر في لاس فيجاس ، كيف تمكنوا من سرقة البيانات من Chrome OS ، وهو نظام تشغيل صممته Google يتطلب من المستخدم القيام بكل شيء تقريبًا عبر الويب. باستخدام التصميم المستند إلى الويب لنظام التشغيل ضد نفسه ، تمكن الباحثون من الوصول إلى أسماء المستخدمين وكلمات المرور ، وحتى المعلومات المصرفية. بينما يمكن إغلاق نقاط الضعف المحددة التي استغلوها ، يقول الباحثون إنه لا توجد طريقة لمنع التهديد الأوسع.

روجت Google لنظام التشغيل Chrome باعتباره نهجًا ثوريًا للحوسبة ، وأكدت على أمانها. نظرًا لأن التطبيقات تعمل على الويب ، فلن يقوم المستخدمون بتشغيل برامج قديمة ، مما يتركهم عادةً عرضة للثغرات الأمنية. يتم أيضًا تحديث النظام تلقائيًا ، ويتم تخزين القليل على كمبيوتر المستخدم. إذا حاول برنامج ضار الوصول إلى جهاز كمبيوتر Chrome ، فيمكن لـ Google استعادة نظام التشغيل إلى حالته الأصلية عن بُعد. يجب أن تجعل هذه الجوانب أقل عرضة للفيروسات والتهديدات الأخرى.

لكن الباحثين ، مات جوهانسن وكايل أوزبورن ، من شركة White Hat Security لأمن تطبيقات الويب ، أثبتا أن الانتقال إلى الويب يأتي بمجموعة من المخاطر الخاصة به. يقول جوهانسن إنه لا يوجد وصول إلى القرص الصلب ، لكننا لا نهتم. نحن بعد المعلومات. نحن لا نحاول إنشاء روبوت على جهاز Chromebook الخاص بك.



استخدم الزوج تقنيات القرصنة الشائعة. لقد نجحوا على الفور تقريبًا باستخدام طريقة تسمى البرمجة النصية عبر المواقع. يتضمن ذلك حقن صفحة ويب برمز يتم تشغيله في متصفحات زوار الموقع. ثم تؤدي الشفرة بعد ذلك مهامًا ضارة على أجهزة هؤلاء الزوار.

استعراض التصحيح العشبية الطبيعية ديابكس

تم تصميم Chrome OS للحد من الضرر الذي قد تسببه هذه التقنية. يتم ذلك عبر تقنية تسمى وضع الحماية ، والتي تهدف إلى منع ما يحدث في علامة تبويب متصفح ما من التأثير على أخرى. استخدم يوهانسن وأوزبورن البرمجة النصية عبر المواقع لمهاجمة ملحقات متصفح Chrome OS ، والتي عادةً ما تضيف وظائف جديدة.

في نظام التشغيل Chrome ، تعد الإضافات أقوى من المتصفحات الأخرى ، ولا تخضع لنفس قواعد وضع الحماية مثل علامات تبويب المتصفح. ويرجع ذلك إلى وجودها جزئيًا لتوفير وظائف تؤثر على علامات تبويب متعددة. أنت تتحدث عن إصدار مختزل للغاية من نظام التشغيل ، كما يقول أوزبورن ، وهم يحاولون إعادة بناء الوظائف من خلال الإضافات.

وجد الباحثون أن الإضافات يمكن أن تحصل على وصول واسع إلى ما يحدث في علامات تبويب متصفح المستخدمين. على هذا النحو ، يمكن لأي شخص استخدامها لسرقة أسماء المستخدمين وكلمات المرور وملفات تعريف الارتباط ومعلومات سجل التصفح ، بما في ذلك المعلومات التي تأتي من المواقع التي لا تحتوي على ثغرات أمنية.

تمديد التهديد: يعتمد نظام التشغيل Chrome OS على ملحقات المتصفح الموضحة هنا لإضافة وظائف كاملة إلى نظام التشغيل. لكن الباحثين يقولون إن بإمكانهم أيضًا فتح النظام أمام التهديدات الأمنية.

وجد الباحثون أن العديد من الامتدادات الحالية لديها أذونات واسعة ، وكانت عرضة للبرمجة عبر المواقع. كما أوضحوا أنه من الممكن إنشاء إضافات ضارة. يمكن أن يتنكروا ، على سبيل المثال ، كطرق للحصول على صور لنجوم البوب.

ملاحظات شريط برولون السريع

يقول الباحثون إنه لا توجد طريقة لمنع هذا التهديد لأنه يمكن لأي شخص إضافة امتداد ، ولا تقوم Google بمراجعتها قبل إتاحتها للمستخدمين. ستكون هناك دائمًا بعض الإضافات التي تحتوي على ثغرات أمنية ، مما يمنح المتسللين طريقة لتجاوز الحماية القوية لنظام التشغيل Chrome.

تمكن الباحثون أيضًا من سرقة البيانات من LastPass ، وهو نظام لإدارة كلمات المرور ، من خلال تولي امتداد مختلف واستخدامه لفتح علامات تبويب جديدة. سمح لهم ذلك برؤية معلومات كلمة المرور التي أدخلها LastPass. على الرغم من تغيير LastPass لنظامه بحيث لا يتم إدخال معلومات المستخدم تلقائيًا ، إلا أن هذا لن يحمي المستخدم من المتسلل الذي دخل من خلال امتداد ضار ، كما يقول الباحثون. سيتعين على المتسلل الانتظار حتى يفتح المستخدم علامة تبويب جديدة.

مشكلة من هذه بشكل عام؟ يقول جوهانسن ، مشيرًا إلى أن كلاً من Google وصانعي الإضافات قد يتحملون مسؤولية الحماية من الهجوم.

قامت Google بإصلاح المشكلات المتعلقة بامتداداتها الخاصة ، وتتواصل مع صانعي الإضافات الذين قد يكونون قادرين على المساعدة. يوم الجمعة ، نشرت الشركة إدخال مدونة مؤكدا قوة الأمان المدمج في Chrome: نواصل تحسين الميزات مثل واجهة برمجة التطبيقات للتصفح الآمن ونموذج الإضافات لدينا الذي يساعد على حماية المستخدمين من محتوى الويب الضار. ومع ذلك ، تقول Google إن المستخدمين بحاجة إلى توخي الحذر بشأن الأذونات التي يمنحونها للإضافات وأين يسافرون على الويب.

أصدرت جوجل أيضا إرشادات للمطورين عند كتابة الامتدادات بشكل أكثر أمانًا. وسيدعم الإصدار التالي من Chrome أيضًا ملف سياسة أمن المحتوى مصمم لتقليل مخاطر هجمات البرمجة النصية عبر المواقع.

يمكن السفر بين النجوم بحلول عام 2100

جاء في بيان صادر عن Google أن هذه المحادثة تدور حول الويب وليس نظام التشغيل Chrome. ترفع [أجهزة الكمبيوتر التي تعمل بنظام Chrome] الحماية الأمنية على أجهزة الحوسبة إلى مستويات جديدة. كما أنها مجهزة بشكل أفضل للتعامل مع هجمات الويب التي يمكن أن تؤثر على المتصفحات على أي جهاز كمبيوتر ، ويرجع الفضل في ذلك جزئيًا إلى نموذج الإضافات المصمم بعناية والأمان المتقدم المتاح من خلال Chrome الذي تبناه العديد من المستخدمين والخبراء.

بعبارة أخرى ، قد يؤدي نقل تجربة الحوسبة بالكامل إلى الويب إلى حل مجموعة واحدة من مشكلات الأمان مع فتح صندوق مليء بمشكلات جديدة.

يخفي

التقنيات الفعلية

فئة

غير مصنف

تكنولوجيا

التكنولوجيا الحيوية

سياسة التكنولوجيا

تغير المناخ

البشر والتكنولوجيا

وادي السيليكون

الحوسبة

مجلة Mit News

الذكاء الاصطناعي

الفراغ

المدن الذكية

بلوكشين

قصة مميزة

الملف الشخصي للخريجين

اتصال الخريجين

ميزة أخبار معهد ماساتشوستس للتكنولوجيا

1865

وجهة نظري

77 Mass Ave

قابل المؤلف

ملامح في الكرم

شوهد في الحرم الجامعي

خطابات الخريجين

أخبار

انتخابات 2020

فهرس With

تحت القبه

خرطوم الحريق

مؤشر With

قصص لانهائية

مشروع تكنولوجيا الوباء

من الرئيس

غلاف القصه

معرض الصور

موصى به