Google wil van Chrome méér en méér een OS maken

PhilipV

Medewerker
Forumleiding
Google wants a smarter web. That could open new security risks.

maar ... stuit daarbij op enkele veiligheidsrisico's...

Google wil de mogelijkheden van een web browser dramatisch verhogen. Niets mis mee, ware het niet dat veiligheid daarmee behoorlijk in het gedrang zou kunnen komen.

Deel van het opzet bestaat er in om de browser directer te laten communiceren met je hardware enerzijds en het net anderzijds, door het aanspreken van USB poorten, over Bluetooth en zelfs NFC wireless links. Deze nieuwe technologie zou Web USB, Web Bluetooth and Web NFC gaan heten en je toelaten om zelfs een installatie of update van je OS, apps, firmware en meer te laten installeren vanuit je browser. Dus zonder de beveiligingen van een App Store, ...

De risico's zijn niet te verwaarlozen. Deze Bluetooth, USB en NFC spelen immers een rol bij het plaatsen van hardware beveiligingssleutels op PC's en vooral bij de meer en meer gebruikte two-factor authentication. Hackers zouden dus op die manier via websites kunnen proberen die login beveiliging te kapen.
En dan daarmee je PC aanvallen. Dit noemt men een "boomerang aanval".

De nieuwe technologie zou het leven makkelijker maken, zeker voor gebruikers van een Chromebook 'powered by Google's Chrome OS'. Maar Google en vb. Intel hebben sceptici nog niet kunnen overtuigen dat de 'slechten', het er ook niet véél makkelijker zouden mee krijgen.
"Een groot aantal features bij verstek uitrollen, die toch nooit zullen worden gebruikt door het merendeel van de gebruikers, lijkt niet meteen een goede zaak", zegt James Loureiro, directeur van UK onderzoeksorganisatie cybersecurity firm F-Secure.

Project Fugu

Google bekijkt dit alles binnen zijn Project Fugu, als verdediging tegen apps als Instagram of Apple News die buiten de browser maar als app werken. Google heeft daarvoor Microsoft en Intel aangesproken. App ontwikkelaars zijn ook geinteresseerd want ze hoeven dan niet langer apps te ontwikkelen voor Windows, MacOS, iOS en Android. Dat wordt vanaf dan één enkele web app, oproepbaar binnen elke (compatibele) browser.

Het project Fugu gaat nog veel verder, maar er is nog weinig over bekend omdat de sceptici nog moeten worden overtuigd, waaronder Apple. Veiligheid en privacy blijven daarbij een must.
Apple heeft echter al breed ingezet op 'native apps', die dus draaien op hun iPhones en OS. Door lock-in blijven die klanten dan binnen de iPhone gemeenschap en hun apps vertegenwoordigen 30 % van hun totale verkoopcijfer. Dat wordt dus een moeilijke...

Om het allemaal wat in de hand te houden stelt Google voor om welbepaalde, onbetrouwbare websites te verhinderen toegang te krijgen tot die Bluetooth, USB of NFC onderdelen en de toegang slechts te verlenen na een weloverwogen handeling (welke valt nog te bekijken) door de gebruiker. Op die manier worden geautomatiseerde aanvallen afgeweerd.
Google heeft in het verleden een reputatie van veilig browsen opgebouwd, o.a. door de 'sandbox' waardoor web software in een afgesloten omgeving opereert.

Careful, now

Apple is echter het grootste obstakel voor de zienswijze van Google. Niet enkel door hun veel gebruikte browser Safari, maar vooral door de afwijkende browser onderbouw, WebKit.
En zij houden niet van Web USB, Web Bluetooth and Web NFC.

"We oppose this feature and will not implement it," Maciej Stachowiak, a Safari leader, said in a mailing list post about Web NFC.

Intel : wél het overwegen waard

Risico's moeten worden afgewogen in verhouding met apps op het OS, dat is duidelijk. Bij apps wordt dat gedaan bij het aanbieden van de apps in vb. de Google Play store. In dit nieuwe opzet zouden eindgebruikers vrij goed ingelichte systeembeheerders moeten worden. Het zou enkel kunnen in combinatie met het verder uitwerken van het 'sandbox' concept. Maar in de ogen van Intel zou op die manier vb. door ziekenhuizen een drager kunnen worden ingeplugd om meteen data op te laden naar een website, zonder dat software dient te worden geinstalleerd of aanwezig moet zijn. Niemand zou ooit nog 'op zoek moeten gaan' naar installatie software want daar zou de browser voor zorgen.

Firefox en Brave zijn tegen

Browser startup 'Brave' maakt gebruik van Google's 'open-source Chromium' maar heeft Web Bluetooth en Web NFC alsnog niet overgenomen en is van plan Web USB bij nader inzien te verwijderen.
Een ander bezwaar komt van Firefox : er is geen eenvoudige manier te bedenken om de eindgebruiker het risico van interfaces via websites te laten evalueren en dan om toestemming te vragen door middel van een browser dialoog box.

Bron : CNET, published July 29
 

cve

Medewerker
Forumleiding
Hopelijk word dit niet het einde van mijn favoriete browser. Dan stap ik over naar edge chromium. Die kon me tot nu toe het meest bekoren.
 
Bovenaan Onderaan