Chrome OS, il micro-sistema operativo basato su web e installato da Google sui suoi nuovi gadget tecnologici noti come Chromebook , non è affatto “blindato” e avulso da gravi problemi di sicurezza come Mountain View ha sin qui promesso. Anzi, il fatto di essere totalmente dipendente dalle tecnologie web lo espone a un livello di rischio molto più alto di quello normale, soprattutto per quanto riguarda la salvaguardia dei dati degli utenti.
A svelare gli altarini del nuovo OS di Google sono Matt Johansen e Kyle Osborn, hacker “white hat” intervenuti alla conferenza Black Hat che si tiene in questi giorni in quel di Las Vegas. Johansen e Osborn hanno dimostrato come poter abusare delle fondamentali vulnerabilità di Chrome OS per penetrare nell’account Gmail dell’utente – il tutto dal web e senza la necessità di installare un singolo bit di codice malevolo sulla macchina locale.
L’installazione di eventuale “malware” su Chromebook è nei fatti una strada preclusa ai cyber-criminali, perché il modello di sicurezza ideato da Google prevede che il sistema faccia il check-up all’avvio ed eventualmente ripristini una copia “pulita” di se stesso nel caso in cui venissero individuate differenze.
In compenso, lasciato l’utente in balia del web, delle “app” e dei servizi “tra le nuvole”, ai malintenzionato non serve altro che abusare del sistema di “estensioni” pensato da Mountain View per aggiungere funzionalità alla scarna ossatura di Chrome OS, “app” da acquistare e scaricare su un apposito store digitale e che necessitano di accedere alle informazioni dell’utente (credenziali di accesso, mail, documenti ma anche cookie) per operare correttamente.
Grazie all’ingegneria sociale, dicono i due ricercatori alla conferenza Black Hat, l’utente può essere spinto a installare estensioni malevole e a quel punto a rischio non è semplicemente la “macchina” ma lo sono tutti i dati ospitati sui server remoti . Le “nuvole” di Mountain View si trasformano in una trappola da cui è impossibile fuggire prima che l’attacco non abbia raggiunto il suo scopo nefasto.
A dimostrazione del fatto che le vulnerabilità di Chrome OS sono le stesse, pericolose “falle sistemiche” del moderno World Wide Web c’è poi l’altro vettore di attacco ipotizzato da Johansen e Osborn: se spingere all’installazione di una estensione malevola un buon numero di “vittime” può essere problematico, sfruttare eventuali – quanto prevedibilissime – vulnerabilità presenti all’interno di estensioni popolari per condurre ogni genere di nefandezze (attacchi XSS in primis) nei confronti degli utenti può essere molto più immediato e vantaggioso. Benvenuti nell’era della sicurezza sulle nuvole.
Alfonso Maruccia