WhiteHat Security研究人员马特·约翰森(Matt Johansen)表示,他已经发现了Chrome系统笔记应用中的一个漏洞。通过这一漏洞,他可以接管谷歌电子邮件帐户。他已经向谷歌报告了这一漏洞,而谷歌已经修复该漏洞,并向他提供了1000美元的奖励。
约翰森表示,他随后又在其他应用中发现了类似的安全漏洞。他表示:“这只是冰山一角。在我们身边,这样的问题越来越多。这将成为恶意软件一个新的发展领域。”
谷歌此前表示,以网络为中心的Chrome系统将改变传统的计算机行业,对微软和苹果形成挑战。三星已经推出了第一款Chrome笔记本,这款产品已于本月早些时候开售。对这款笔记本的早期评测褒贬不一。一些有影响力的技术专家表示,Chrome笔记本需要持续联网,这一理念有可能过于超前,对主流用户来说并不合适。
约翰森表示,对Chrome系统的攻击主要针对Chrome浏览器和云计算系统之间的数据传输。目前,黑客的攻击目标主要是用户计算机硬盘中的数据。他表示:“当你的网银、Facebook个人页面,或电子邮箱在浏览器中加载时,我能够获得相关数据。如果我能攻破一些网络应用并获取数据,我将不必太关注你的硬盘中有什么。”
约翰森拒绝透露哪些应用存在安全缺陷。他与他的同事卡尔·奥斯博恩(Kyle Osborn)将在今年8月的Black Hat黑客大会上公布相关信息。这些应用主要是用户通过Chrome网络商店下载的插件,而Chrome系统的大量插件是由第三方开发者,而不是谷歌开发的。
约翰森指出,插件的问题与Chrome系统的设计缺陷有关,因为Chrome系统允许插件访问存储在云计算系统中的数据。他表示:“Chrome系统对这些插件的授权超过了必要程度。”
谷歌高管表示,将研究改进对插件的管理流程。谷歌Chrome系统主管凯萨·森谷普塔(Caesar Sengupta)表示,谷歌正在研究多种不同的方式,自动识别有问题的插件。不过谷歌并不希望使Chrome网络商店的插件发布变得更麻烦。他表示:“我们正试图建设一个类似网络的开放系统。”
iSec Partners安全专家亚历克斯·斯塔莫斯(Alex Stamos)则表示,WhiteHat研究人员列举的事实不能成为批评一个新操作系统安全性的理由。他表示:“尽管并不完美,但相对于Windows和Mac电脑,Chrome系统的环境更安全。”
来源:互联网 转载于临企外贸网站制作新闻频道
