ブラウザ
 Computer >> コンピューター >  >> ソフトウェア >> ブラウザ

Chromebookがデジタルセキュリティの問題を解決しない3つの理由

GoogleのChromeOSは、一見すると、オペレーティングシステムのセキュリティに対するタッチダウンのようなものです。これはおそらく世界で最も安全なオペレーティングシステムです(機能が制限されていますが)。残念ながら、ChromeOSは万能薬ではなく、プラットフォームに関する深刻なセキュリティ上の懸念が残っています。

まず、良いニュースです:

ChromeOS(安価なChromeブランドのネットブックで実行される簡素化されたLinuxオペレーティングシステム)には、セキュリティを重視するユーザーにとって非常に優れた機能がたくさんあります。ブートロードコードは読み取り専用メモリに保存され、起動前にOSカーネルのデジタル署名をチェックします(「確認済みブート」機能)。ブートローダーはROM内にあるため、ハッカーはチップを物理的に改ざんせずにブートローダーを変更することはできません。システムファイルがチェックに失敗した場合、ブートローダーはマシン全体を工場出荷時の設定にリセットし、挿入された可能性のある悪意のあるコードを破壊します。

Chromebookがデジタルセキュリティの問題を解決しない3つの理由

プラットフォームのセキュリティは、サンドボックスで実行されるウェブアプリに基づいているため、さらに強化されます。スレッドとメモリは分離されており、理論的には、悪意のあるウェブアプリが情報にアクセスしたり他のアプリを制御したりするのを防ぎます。コンピュータがネットワークに接続されている場合、セキュリティ修正プログラムを含むシステムアップデートが自動的かつ目に見えない形で適用され、Chromebookが常に最新の状態に保たれます。デバイスに物理的にアクセスできる攻撃者からデバイスを保護するために有効にできるセキュリティオプションもいくつかあります。 ChromeOSマシンにマルウェアを侵入させようとすることは、うらやましい作業ではありません。 ChromeOSプラットフォームのセキュリティについて詳しくは、こちらをご覧ください。

では、何が問題なのでしょうか?

サンドボックスを信頼することはできません

残念ながら、Webサンドボックスによって提供されるセキュリティは、ほとんどが非公式であり、証明されていません。 Javaを含む多くのサンドボックスには、アプリケーションがサンドボックスから抜け出し、マシン上で任意の命令を実行できるバグが発見されています。 Chrome自体には、ブラックハットハッカーによるサンドボックス破壊攻撃が示されています。これらの特定のエクスプロイトは現在修正されていますが、それ以上ないという保証はありません。セキュリティ研究者のRikFergusonは、次のように述べています。

「サンドボックスから抜け出すエクスプロイトは、Internet Explorer、Java、Google Android、そしてもちろんChromeブラウザ(ほんの数例)ですでに実証されていますが、Googleサンドボックスは効果的ですが、侵入することはできません。そして、100%のセキュリティをこれに依存することは、近視眼的です。」

Chromebookがデジタルセキュリティの問題を解決しない3つの理由

ここでの最悪の犯罪者は、インタラクティブWeb、特にWebブラウザでの使用を目的としたOpenGL(一般的なグラフィックライブラリ)の実装であるwebGLです。 WebGLを使用すると、ブラウザからグラフィカルに印象的な3Dデモを実行できます。これは、非常に優れています(これらの例など)が、残念ながら、セキュリティにとっても悪夢です。 WebGLを使用すると、Webアプリは任意のシェーダー命令をマシンのビデオカードに送信できます。これにより、サンドボックスを壊す可能性のあるエクスプロイトの想像上の虹全体が可能になります。 Microsoftの公式の見解[壊れたURLは削除されました]は、webGLは内部で使用するには安全性が高すぎるというものです:

WebGL全体のセキュリティは、OEMドライバーを含むシステムの下位レベルに依存し、以前は実際に心配する必要がなかったセキュリティ保証を維持します。以前はローカルでの特権の昇格のみをもたらした可能性のある攻撃が発生する可能性があります。これらのリスクをある程度軽減することは可能かもしれませんが、WebGLによって公開される大きな攻撃対象領域は依然として懸念事項です。特定のプラットフォームまたは特定のビデオカードにのみ存在するバグが発生し、標的型攻撃を助長する可能性があると予想されます。 "

クラウドを信頼することはできません

ただし、サンドボックスに対する脅威の可能性よりもさらに悪いのは、プラットフォーム自体の性質です。 Chromebookは、設計上、クラウドに大きく依存しています。 Chromebookを誤って破壊した場合(たとえば、Chromebookを踏んだり、溶けた岩の湖に落としたりした場合)、データは失われません。新しいものを購入してログインし、すべてのデータと設定を取り戻すことができます。

残念ながら、これはユーザーを方程式のクラウド側でかなりのリスクにさらします。 ArsTechnicaのSeanGallagherは、彼の編集「なぜNSAはGoogleのChromebookを愛しているのか」で指摘しています。これは、NSAがGoogleのクラウドストレージに侵入型のバックドアを持っていた(そしてまだ持っている可能性がある)ことを知っており、それを使用してすべてのファイルをスパイできますChromebookを使用しているユーザーを含むドライブユーザーの数。ギャラガーが言うように、

「これは必ずしもGoogleのせいではありません。しかし、プラットフォームとしてのブラウザの弱点です。プレゼンテーション以外のアプリケーションのほぼすべてのコンピューティングリソースをクラウドにプッシュすることで、Chromebookモデルはワンストップショップを作成します攻撃者やオブザーバーが自分自身をコンピューティングの世界に注入するために。」

NSAだけではありません。信頼できるブートローダーは、ユーザーの行動を報告するオペレーティングシステムへの永続的な悪意のある変更からユーザーを保護できますが、Webアプリによるセキュリティ違反が1回でも十分であり、攻撃者がアクセスに使用する可能性のあるキーと認証の詳細を盗む可能性があります。クラウドデータを自由に閲覧できます。

Chromebookがデジタルセキュリティの問題を解決しない3つの理由 ネイティブアプリが登場します

さらに悪いことに、ChromeOSのサンドボックスは特に純粋なパラダイムではありません。AdblockPlusやGoogle翻訳などのWebページ上で実行されるブラウザ拡張機能は、マシン上で実行されるネイティブコードであり、あらゆる種類の厄介なことを実行できます(アドウェアの表示やパスワードのスパイを含む)。他の悪意のある拡張機能を検出して削除するダウンロード可能な拡張機能もあります。これは、ChromeOSが必要としないウイルス対策ソフトウェアの一種です。 Googleの功績により、ChromeOSは、Googleの承認プロセスをすでに通過したChrome拡張機能ストアからのアプリのみをインストールします。残念ながら、その審査プロセスは人間の判断に依存しており、その審査によって提供される保証は、優れたサンドボックスによって提供される保証よりもはるかに弱いものです。

さらに悪いことに、GoogleはネイティブアプリをAndroidアプリの形式で実装し、インターフェースレイヤーを介してChromeOSで実行することを計画しています。これらは、ChromeOSにセキュリティ上の懸念の全体と深さをもたらすネイティブアプリであり、これらのセキュリティ上の懸念は、キーの盗難に対するクラウドの相対的な脆弱性によってさらに深刻になります。違反は、目に見えず永続的である場合、より深刻になります。

Chromebookがデジタルセキュリティの問題を解決しない3つの理由

もちろん、ChromeOSで許可されているAndroidアプリは、おそらくGoogleのチームによって悪意のあるコードについて慎重に精査されますが、それはマシンのセキュリティを維持するのに十分な保証ではありません。コードが悪意のあるものでなくても、オペレーティングシステムにアクセスするために使用される可能性のある、独自のエクスプロイトと脆弱性がほぼ確実に発生します。ネイティブコードは危険であり、ChromeOSを安全に保つことを目的としたセキュリティ原則に違反しています。

ChromeOS:安全ですが、懸念事項は存在します

ここで少し時間を取って、ChromeOSが非常にであることを繰り返してください。 安全。 Windows、Linux、またはOSXを使用している場合、ChromeOSは飛躍的に安全です。実際、これは基本的にプラン9を除くすべてのオペレーティングシステムに当てはまります。非常に安全なオペレーティングシステムであるため、話す「ウェア」がないため、マルウェアを少なくとも部分的に回避できます。ただし、それを不注意な言い訳にしないでください。ChromeOSに関する深刻なセキュリティ上の懸念が残っているため、機密情報でコンピュータを信頼する場合は、それらに注意する価値があります。

画像クレジット:Shutterstock経由のラップトップを持ったハッカー、StephenShanklandによる「ChromeLapelPin」、slgckgcによる「Chromebook」、??による「Chromebookfototest」 ?、「Kryha-Chiffriermaschine、Kryha-暗号化デバイス」、Ryan Somma


  1. Facebookがセキュリティとプライバシーの悪夢である4つの理由

    Facebookはもはやソーシャルメディアの城の王様ではありません。ますます多くの人々が永久にネットワークに背を向け始めています。アカウントを削除してはならないと主張することは可能ですが、サービスを廃止することを支持する議論は驚くべき速さで山積みになっています。 セキュリティやプライバシーを重視する場合は、読み続けてください。 1.ひどい実績 2018年の初めに、FacebookはCambridgeAnalyticaスキャンダルでのその役割についてニュースの見出しにヒットしました。簡単に言えば、ザッカーバーグの会社は、データ分析会社にサービスのユーザーの5,000万人に関する情報を盗んで保

  2. iPhone XS を購入すべきでない理由

    iPhone XS は 2018 年に発売され、あと数か月でほぼ 1 年になります。もちろん、このデバイスは、もちろん良い理由と悪い理由で、テクノロジー市場で多くの話題を生み出しました. iPhone XS と iPhone XS Max は、さまざまな高度な機能を備えた最も評価の高い製品の 1 つです。美しいカメラから A12 バイオニック プロセッサまで、iPhone XS には、スマートフォンに求められるすべての機能が備わっています。 残念ながら、これらのデバイスのリリース以来、iPhone XS および iPhone XS Max に関する多くの問題を耳にしています。最も一般的な