Chrome OS: Black-Hat-Konferenz deckt Schwächen auf

BetriebssystemChromebookCloudSicherheitSicherheitsmanagementWorkspace

Googles Betriebssystem sei aufgrund seiner Erweiterungen verletzlich. Außerdem stelle sich der Webkonzern mit seiner Security-Vorgehensweise selbst ein Bein. So lauten die Erkenntnisse der Sicherheitsexperten.

White-Hat-Security-Experte Matt Johansen ergriff auf der Black-Hat-Sicherheitskonferenz in Las Vegas das Wort. Seine Präsentation zielte vor allem auf die Schwachstellen von Chrome OS ab. Da das Betriebssystem darauf gepolt sei, online zu gehen und den Kontakt zu diversen Webseiten und der Cloud zu halten, falle es den Kriminellen leichter, den Code zu kompromittieren. Das Nachinstallieren einer verseuchten Extension sei der simpelste Weg. So tauchten in jüngster Vergangenheit bereits entsprechende Exemplare in Googles eigenem Chrome Web Store auf, die auf Datenklau aus waren, berichtete CNET.

Johansen kritisiert, dass die einzige Sicherheitsmaßnahme im Web-Store jene sei, dass eine Extension als sicher markiert werden könne. »Das reicht natürlich nicht. Uns fiel eine Software namens Cookie Stealer im Chrome Web Store ins Auge«, erzählt Johansen und ergänzt: »Aber hey, sie war als sicher verifiziert. Wird also schon nichts Böses im Schilde führen.« Solch eine Nicht-Sicherheit führe den Kunden nur in die Irre und mache Chrome OS zu einem gefährdeten Produkt.

Google selbst entlieh dem Chrome-Browser einige Sicherheitsmerkmale für das OS. So sind die Tabs voneinander abgeschirmt (Sandbox-Modus) und können sich nicht gegenseitig ausspähen. Das Betriebssystem kümmert sich höchstselbst um die Plugins. Damit sei das System sicher und Schwachstellen nur dem Internet geschuldet, argumentierte Google. Johansen hält dagegen, dass dieses OS sich aufgrund seiner Cloud-Natur virtuell praktisch auf das Web erstrecke, in verblüffend wenigen Ebenen strukturiert sei und kein ausgewachsener Anti-Malware-Schutz integriert sei. Der Nutzer selber müsse zu viele Entscheidungen treffen, welche Inhalte er für sicher halte. »Der User spielt hier selbst Firewall und vergibt Zugriffsrechte«, kritisiert Johansen.