보안 연구원 두 명이 확장 프로그램을 통해 Chrome OS에서 데이터를 훔치는 방법을 발견했습니다.
Google은 Chrome OS가 다른 OS보다 더 안전하다고 주장합니다. 그 이유는 Chrome OS가 지속적으로 업데이트되어 사용자가 패치를 적용하지 않은 상태로 남지 않기 때문입니다.
라스베거스에서 열린 Black Hat 컨퍼런스에서 White Hat Security의 Matt Johansen과 Kyle Osborn은 브라우저 기반 운영 체제에서 사용되는 확장 프로그램을 표적으로 삼아 사용자 데이터를 훔치는 방법을 공개했습니다.
우리는 귀하의 Chromebook에 봇넷을 구축하려는 것이 아닙니다.
연구원들은 확장 프로그램을 대상으로 하는 크로스 사이트 스크립팅 공격을 사용하여 웹페이지에 자체 취약점이 없는 경우에도 열려 있는 모든 탭의 데이터에 액세스했습니다.
Osborn은 "당신은 매우 단순화된 버전의 운영 체제에 대해 이야기하고 있습니다."라고 말했습니다. MIT의 기술 검토. "그리고 그들은 확장을 통해 기능을 다시 구축하려고 노력하고 있습니다."
실제로 연구원들은 Chrome OS를 표적으로 삼는 간단한 방법 중 하나는 악성 확장 프로그램이나 앱을 만드는 것이라고 말했습니다. Google은 사용자가 설치하도록 허용하기 전에 이를 조사하지 않기 때문입니다.
두 사람은 Chrome OS가 상대적으로 안전하며 경쟁 OS와 동일한 보안 문제에 직면할 필요는 없다고 말했습니다. “하드 드라이브에 접근할 수는 없지만 우리는 상관하지 않습니다.”라고 Johansen은 말했습니다. “우리는 정보를 찾고 있습니다. 우리는 당신의 크롬북에 봇넷을 구축하려는 것이 아닙니다.”
또한 결함은 Chrome에만 국한된 것이 아닙니다. 이러한 공격은 모든 브라우저에 대해 사용될 수 있으며 Black Hat 발표자들은 그 어떤 것도 안전하지 않다는 것을 지속적으로 입증해 왔습니다.
컨퍼런스에 참석한 다른 연구자들은 인슐린 펌프를 방해하여 에너지 그리드, 카드 도어 잠금 시스템, 심지어 의료 장비에 대한 해킹을 선보였습니다.
