谷歌Chrome OS安全性存在設(shè)計(jì)缺陷

　　獨(dú)立計(jì)算機(jī)安全公司W(wǎng)hiteHat Security研究職員表示，采用Chrome系統(tǒng)的計(jì)算機(jī)依靠于各種網(wǎng)絡(luò)服務(wù)，因此黑客對(duì)網(wǎng)站和網(wǎng)絡(luò)瀏覽器的攻擊有可能給Chrome系統(tǒng)帶來(lái)嚴(yán)峻的安全威脅。

　　WhiteHat Security研究職員馬特·約翰森(Matt Johansen)表示，他已經(jīng)發(fā)現(xiàn)了Chrome系統(tǒng)筆記應(yīng)用中的一個(gè)漏洞。通過(guò)這一漏洞，他可以接管谷歌電子郵件帳戶。他已經(jīng)向谷歌講演了這一漏洞，而谷歌已經(jīng)修復(fù)該漏洞，并向他提供了1000美元的獎(jiǎng)勵(lì)。

　　約翰森表示，他隨后又在其他應(yīng)用中發(fā)現(xiàn)了類似的安全漏洞。他表示：“這只是冰山一角。在我們身邊，這樣的題目越來(lái)越多。這將成為惡意軟件一個(gè)新的發(fā)展領(lǐng)域。”

　　谷歌此前表示，以網(wǎng)絡(luò)為中央的Chrome系統(tǒng)將改變傳統(tǒng)的計(jì)算機(jī)行業(yè)，對(duì)微軟和蘋(píng)果形成挑戰(zhàn)。三星已經(jīng)推出了第一款Chrome筆記本，這款產(chǎn)品已于本月早些時(shí)候開(kāi)售。對(duì)這款筆記本的早期評(píng)測(cè)褒貶不一。一些有影響力的技術(shù)專家表示，Chrome筆記本需要持續(xù)聯(lián)網(wǎng)，這一理念有可能過(guò)于超前，對(duì)主流用戶來(lái)說(shuō)并分歧適。

　　約翰森表示，對(duì)Chrome系統(tǒng)的攻擊主要針對(duì)Chrome瀏覽器和云計(jì)算系統(tǒng)之間的數(shù)據(jù)傳輸。目前，黑客的攻擊目標(biāo)主要是用戶計(jì)算機(jī)硬盤(pán)中的數(shù)據(jù)。他表示：“當(dāng)你的網(wǎng)銀、Facebook個(gè)人頁(yè)面，或電子郵箱在瀏覽器中加載時(shí)，我能夠獲得相關(guān)數(shù)據(jù)。假如我能攻破一些網(wǎng)絡(luò)應(yīng)用并獲取數(shù)據(jù)，我將不必太關(guān)注你的硬盤(pán)中有什么。”

　　約翰森拒絕透露哪些應(yīng)用存在安全缺陷。他與他的同事卡爾·奧斯博恩(Kyle Osborn)將在今年8月的Black Hat黑客大會(huì)上宣布相關(guān)信息。這些應(yīng)用主要是用戶通過(guò)Chrome網(wǎng)絡(luò)商店下載的插件，而Chrome系統(tǒng)的大量插件是由第三方開(kāi)發(fā)者，而不是谷歌開(kāi)發(fā)的。

　　約翰森指出，插件的題目與Chrome系統(tǒng)的設(shè)計(jì)缺陷有關(guān)，由于Chrome系統(tǒng)答應(yīng)插件訪問(wèn)存儲(chǔ)在云計(jì)算系統(tǒng)中的數(shù)據(jù)。他表示：“Chrome系統(tǒng)對(duì)這些插件的授權(quán)超過(guò)了必要程度。”

　　谷歌高管表示，將研究改進(jìn)對(duì)插件的治理流程。谷歌Chrome系統(tǒng)主管凱薩·森谷普塔(Caesar Sengupta)表示，谷歌正在研究多種不同的方式，自動(dòng)識(shí)別有題目的插件。不外谷歌并不但愿使Chrome網(wǎng)絡(luò)商店的插件發(fā)布變得更麻煩。他表示：“我們正試圖建設(shè)一個(gè)類似網(wǎng)絡(luò)的開(kāi)放系統(tǒng)。”

　　iSec Partners安全專家亞歷克斯·斯塔莫斯(Alex Stamos)則表示，WhiteHat研究職員列舉的事實(shí)不能成為批評(píng)一個(gè)新操縱系統(tǒng)安全性的理由。他表示：“盡管并不完美，但相對(duì)于Windows和Mac電腦，Chrome系統(tǒng)的環(huán)境更安全。”