Steeds meer lekken in Googlebrowser

08-09-2008 11:37 | Door Jolein de Rooij | Lees meer artikelen over: Chrome, Hacking | Er zijn 9 reacties op dit artikel | Permalink

Het begint er steeds meer op te lijken dat surfen met Chrome vergelijkbaar is met base-jumpen. Personen die deze risicosport beoefenen springen zonder reserveparachute vanaf een object dat zich relatief dicht bij de grond bevindt, zoals een lage rots, gebouw, of antennemast.

Nadat vorige week al bleek dat sommige links Chrome tot een totale crash kunnen brengen, hebben Vietnamese onderzoekers een lek gevonden in Google's browser waarmee hackers de controle over een systeem compleet kunnen overnemen.

Chrome is snel, veilig en stabiel. Dat beloofde Google toen het de browser vorige week dinsdag ter download aanbood. Déze browser zou niet crashen als één tab crashde. Via déze browser zou het niet mogelijk zijn een systeem over te nemen.

Beide beloftes blijken niet waar. Nadat vorige week al aan het licht kwam dat sommige links Chrome tot een totale crash kunnen brengen, ontdekte het Vietnamese onderzoekscentrum SVRT-Bkis dat de SaveAs-functie in Chrome misbruikt kan worden. Webpagina's met extra lange titels (gedefinieerd door de <title>-tag in HTML), kunnen een geheugenoverflow veroorzaken, waarna kwaadwillenden malware kunnen installeren op het systeem.

Google beloofde vorige week in een online strip dat het gebruik van ‘sandboxing' voorkomt dat malware kan worden geïnstalleerd op de harde schijf. Zandbak-technologie betekent dat elke applicatie in z'n eigen geheugenruimte draait.

Ongemerkte download

Google: "Ons doel met sandboxing is om te voorkomen dat malware zichzelf installeert op de computer, doordat de malware gebeurtenissen in de ene tab misbruikt om invloed te hebben binnen andere tabs. Daarom hebben we voor elk van deze processen alle rechten beperkt. Processen kunnen berekeningen uitvoeren, maar ze kunnen geen bestanden naar je harde schijf wegschrijven, of bestanden lezen op bijvoorbeeld je desktop."

Daarnaast hebben Oekraïense onderzoekers exploitcode geschreven die een exe-bestand downloadt zonder dat websitebezoekers daar erg in hebben. De code plaatst het bestand zonder toestemming van de gebruiker in de standaard-downloadmap.

Vorige week berichtte TGDaily bovendien dat Chrome automatisch de inhoud van alle bezochte sites indexeert, ook als het gaat om vertrouwelijke via HTTPS-beveiligde informatie op bijvoorbeeld internetbankiersites. Hackers die zich toegang weten te verwerven tot de systeemmap waarin deze informatie wordt opgeslagen, kunnen daar theoretisch misbruik van maken.

Jaap Nep, 08-09-2008 12:57

We praten hier over een publieke beta, dus waarom al die ophef? Of heeft Jolein onnadenkend gewoon een berichtje van de 'telex' geplukt?

Ted Kraan, 08-09-2008 14:16

Ik snap de ophef ook niet helemaal.
Ik denk dat de marketing rondom het programma (dat inderdaad nog alleen in beta test draait) iets te scherp is neergezet.

Tom, 08-09-2008 14:35

Op elke slak zout leggen is makkelijk. Feit is dat Chrome een nieuwe vooruitstrevende browser is. Ik ben er wel blij mee. Als de ergste bugs eruit zijn, gooi ik Firefox eruit.

sjun, 08-09-2008 14:54

Ik heb de browser drie dagen getest en hem onvoldoende bruikbaar bevonden. Ik krege diverse browservastlopers, kan zelf geen zoekmachine kiezen en heb openstaande vragen bij de beveiliging ter bescherming van de desktop.

Gezien de betastatus bij Google niks voorstelt, want nagenoeg alles is beta, ben ik niet onder de indruk van de poging tot ridiculisering van de terechte ophef.

Gelukkig is er het gratis Opera dat uitstekend voldoet op diverse besturingssystemen.

Ted Kraan, 08-09-2008 15:45

@sjun: Terechte ophef?

Chrome versie is 0.2
IE gaat al naar 8.0
FF zit op 3.0

JosW, 08-09-2008 17:00

Door bedrijven als Microsoft zijn we er inmiddels aan gewend geraakt dat producten op de markt worden losgelaten die nog lang niet af zijn. Van een beta-versie mogen we inmiddels kennelijk helemaal niks meer verwachten.
Ik ben blij met alle ophef: het geeft aan dat men van Google kennelijk w?l bepaalde verwachtingen heeft ten aanzien van de kwaliteit. Jammer dat Google die verwachtingen deze keer niet waarmaakt. Ook ik heb deze versie van Chrome als onbruikbaar terzijde geschoven. Maar ik zal de eerstvolgende versie zeker weer gaan proberen.

Arjan Bakker, 08-09-2008 17:13

Blijkbaar maakt Google ook fouten. Wat ik opmerkelijk vind, zijn de reacties overal. Hieruit lijkt het alsof we het eerder opnemen voor "onze Google" dan dat we kritisch zijn en even wachten op de nieuwe versie. Dit is nou wat je met een dure term noemt, cognitieve dissonantie. Wees eerlijk, we zijn toch een tikje uit balans en zoeken naar argumenten om de fout van Google te rechtvaardigen en Chrome toch te instaleren. Wat vind jij? Breng je stem uit op: arjanbakker.blogspot.com

sjun, 08-09-2008 20:01

@Ted Kraan: Zeker. Je desktop staat helaas gewoon open voor wie kwaad wil met Google's Chrome. Ik vind dat je zo'n slecht getest product Alpha zou moeten noemen en eigenlijk niet voor consumenten ter download beschikbaar hoort te stellen. Google vindt kennelijk dat dit wel kan en daarmee solliciteert het dan ook naar terechte kritische kanttekeningen bij een tot nog toe ondeugdelijk product.

Ik begrijp ook wel dat Google liever ander commentaar hoort maar begrijpt Google wel dat het geen ondeugdelijke producten hoort vrij te geven? Sun, IBM, Microsoft en Apple krijgen het op hun brood als zaken niet deugen, Google dus ook.

Ronald Vermeij, 30-09-2008 7:58

Chrome is een illusie van een webbrowser. Het lijkt meer (net als M$ Internet Exploder) op een Trojan Horse, The Kanus Browser uit de film The Net!

Chrome is
- aan de voorkant een gratis browser
- aan de achterkant een gratis datamining tool, wat Google in staat stelt om, na installatie, de inhoud van je eigen HARDDISK te indexeren en te uploaden naar Google.

En God mag weten wat ze daar uitvoeren met de informatie die ze van jouw computer hebben afgetrokken?

Jawel The New World Order is comming to your harddisk too!

Tip voor de (onderzoekende) collega's:

Installeer Google's Chrome eens m.b.v.
- Een snapshot tool (bijv sysdiff)
- Sysinternals Registry Monitor
- Sysinternals File Monitor
- Sysinternals Proces Monitor
- Sunbelt (Application) Firewall
En een hardware firewall met packet content sniffing mogelijkheden op je internet verbinding

Have fun! Als je gedaan hebt snap je mijn reactie ;-)

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Steeds meer lekken in Googlebrowser

Ongemerkte download

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

29-01-10 Browser-applicaties vaker doelwit van hackers

15-01-09 Symantec beschermt surfers via virtualisatie

17-09-08 Chrome en IE8 willen multicore

16-09-08 Chrome draait op Linux en Mac OS X

08-09-08 De kijk van Van Eijk: Google Chrome blinkt niet

04-09-08 'Chrome wordt deel van Google Android'

02-09-08 Google komt met eigen browser

Best Practices om laptop-data te beschermen