Sicherheitsforscher warnen vor Lücken in Chrome OS

Auf der Konferenz Black Hat, die derzeit in Las Vegas stattfindet, haben Sicherheitsforscher vor Chrome OS gewarnt. Google bewerbe sein Betriebssystem zwar damit, dass es sicherer sei als andere, tatsächlich sei es aber lediglich für eine andere Art von Angriffen anfällig, sagten Matt Johansen und Kyle Osborn von WhiteHat Security.

Chome OS habe wenig mit anderen Desktop-Betriebssystemen gemein, die derzeit verfügbar sind. „Es ist eher mit Mobilgeräten und Apps vergleichbar, bei denen man mehr aus dem Gerät herausholt, wenn man Erweiterungen installiert“, erklärte Johansen. Mobile-Bugs seien 20 bis 30 Prozent mehr wert als Desktop-Bugs. „Wenn du jemandes Telefon knackst, hältst du sein halbes Leben in der Hand“.

Anders als etwa bei Apple gibt es bei Google keinen Prüfprozess für Apps, was nach Ansicht der Sicherheitsforscher das Risiko deutlich erhöht. „Wir haben eine Erweiterung im Chrome Web Store entdeckt, die ‚Cookie Stealer‘ heißt – und genau das macht. Aber hey, daneben steht eine Kontrollmarkierung, wonach das Programm überprüft wurde und sicher ist“, spöttelte Johansen.

App-basierte Angriffe auf Chrome OS dürften den Sicherheitsforschern zufolge weniger über die üblichen Verdächtigen erfolgen – Exploits von Microsoft Office oder Pufferüberlauf. Ein größeres Risiko seien E-Mail-Benachrichtigungen und RSS-Reader, die weitreichende Befugnisse benötigen, um zu funktionieren. Für Kriminelle interessant ist demnach jede Anwendung, die mit einer Datenbank kommuniziert oder Input aus dem Netz nachlädt und an den Nutzer ausgibt. „Warum sich über das Ausführen von nativem Code Gedanken machen, wenn Angriffe per Cross-Site Scripting einem Hacker Zugriff auf das gesamte System geben?“, fragte Johansen. „Die Entwicklung eines Exploits ist anstrengend. JavaScript ist simpel.“

Als Google im Dezember 2010 den Demo-Laptop Cr-48 mit Chrome OS herausgebracht hatte, wandte es sich an WhiteHat Security, um Sicherheitslücken festzustellen. Die Forscher fanden relativ schnell einen Fehler in der App ScratchPad, die zum Aufzeichnen von Notizen dient. Dabei handelt es sich um eines der wenigen Programme, die Chrome OS vorinstalliert mitbringt.

ScratchPad synchronisiert Notizen mit einem Google-Docs-Konto. Wird ein Google-Dokument oder -Ordner mit anderen Nutzern geteilt, brauchen diese nicht ihre Zustimmung zu geben – die Inhalte tauchen einfach im eigenen Konto auf. Johansen zufolge erhöht das Fehlen strukturierter Genehmigungsprozesse immens das Risiko eines Exploits. Von dem Problem sei jeder betroffen; ein Exploit verfüge über die Login-Daten eines Nutzers und hätte freien Zugriff auf sein Konto, weil keine Genehmigungen mehr erteilt werden müssten.

Weil ein Exploit Zugriff auf alle Subdomains unter Google.com hätte, wären unter Umständen auch alle Kontakte oder ein Voice-Konto betroffen, so Johansen weiter. Es könnte eine ganze Kontaktliste als CSV-Datei exportieren. „Es handelt sich um einen Null-Klick- oder maximal um einen Ein-Klick-Wurm.“ Google habe die Lücke zwar rasch geschlossen, nachdem man es informiert habe, aber die fehlenden Genehmigungsprozesse machten Chrome OS dennoch anfällig. Auch die API-Liste selbst, die das Schreiben leistungsfähiger Add-ons ermöglicht, berge ernste Risiken. Erweiterungen haben demnach Zugriff auf die Tabs-API; das bedeute, ein Exploit könne relativ einfach auf eine ganze Browser-Sitzung zugreifen, erklärte Johansen.