Zal het OS van Google het bureaublad veilig maken?

Google zegt dat zijn aangekondigde Chrome-besturingssysteem zo veilig is dat "gebruikers geen last hebben van virussen, malware en beveiligingsupdates." Maar de claim van Google wordt met scepsis binnen de internetbeveiligingswereld beantwoord.

"Ik heb ernstige twijfels over hun beweringen, simpelweg omdat een besturingssysteem code moet uitvoeren en malware code is", zegt Dave Marcus, directeur beveiligingsonderzoek en communicatie voor McAfee Avert Labs.

Net als de Chrome-browser, zal Google Chrome OS gebaseerd zijn op een bestaand open-sourceproject: waar de Chrome-browser is gebaseerd op het open-source Webkit-project, zal Chrome OS gebaseerd zijn op de open-source bron Linux kernel. Het zal, zegt Google, een "lichtgewicht" OS zijn dat op x86- of ARM-processors zal draaien en een nieuw venstersysteem zal hebben. Verder zal Chrome OS worden gepositioneerd voor gebruik op netbooks, die primair zijn ontworpen voor gebruik op internet. Het Android-platform blijft de keuze van Google voor mobiele apparaten.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Ruimte voor verbetering

Met zijn Chrome-browser probeerde Google de browser opnieuw te bekijken. Het creëerde een nieuwe JavaScript-virtuele machine, V8, met het argument dat JavaScript tegenwoordig veel meer doet dan online-nieuwigheden mogelijk maken. JavaScript voert nu applicaties uit, zoals die gebouwd door Google zelf. Een van de optimalisaties die in de V8-engine is geïntroduceerd, is een nieuwe manier om de JavaScript-broncode te interpreteren, zodat deze als machinecode binnen de CPU wordt uitgevoerd. Dankzij een andere optimalisatie weet de V8 ook waar de JavaScript-aanwijzers zijn, waardoor herhaald zoeken overbodig wordt. Maar terwijl de prestaties van de V8 zijn geoptimaliseerd, heeft de Chrome-browser het JavaScript-dreigingslandschap niet geëlimineerd.

"Malware neemt vele vormen aan, inclusief JavaScript-malware, waar Google nog steeds kwetsbaar voor is", zegt Robert Hansen, CEO van SecTheory. Tijdens de Black Hat USA-veiligheidsconferentie afgelopen zomer presenteerden Hansen en Tom Stracener van Cenzic een toespraak waarin ze laten zien hoe ze in staat waren Google Gadgets te exploiteren; ze hebben zelfs de uitdrukking Gmalware (voor malware op basis van Gmodules) bedacht om deze nieuwe klasse van kwetsbaarheden te beschrijven.

"Gezien het enorme aantal beveiligingsproblemen dat wordt aangetroffen in alle client-side applicaties van Google [die] we hebben beoordeeld, vinden we het is onwaarschijnlijk dat Google plotseling een zilveren kogel heeft gevonden, "zegt Hansen.

Rechten zijn van cruciaal belang Google is bij het ontwerpen van Chrome begonnen met de veronderstelling dat de browser zou worden gehackt. Google heeft daarom zijn rechten gestructureerd zodat web-apps kunnen worden uitgevoerd, maar ze kunnen geen bestanden naar het systeem lezen of schrijven. Voor een besturingssysteem moet dat concept op de desktop worden uitgevoerd. Microsoft heeft geworsteld met variabele gebruikersprivileges in Windows, terwijl Linux-gebruikers het grootste gedeelte prima werken met beperkte gebruikersprivileges. Toepassingen die zijn geschreven voor het Chrome OS kunnen verder in sandbox staan, zodat ook zij beperkte rechten hebben.

Een ernstig onbekend feit is het privacybeleid van Google. Toen de Chrome-browser afgelopen herfst debuteerde, beweerde Google dat het de volledige inhoud had die in de browser wordt weergegeven, maar het bedrijf heeft zich snel teruggetrokken uit dat beleid. Google verzamelt nog steeds gegevens die zijn ingevoerd in de adresbalk en zoekvelden van de browser, dus het is interessant om te zien wat het bedrijf uit zijn nieuwe besturingssysteem wil verzamelen.

Uiteindelijk maakt het misschien niet uit wat Google doet of doet niet doen met Chrome OS. Linux, zelfs met commerciële edities als Ubuntu en Red Hat, heeft nog maar een relatief klein percentage van de OS-markt in handen. Google kan verder gaan dan dat. Veel zal afhangen van de vraag naar nieuwe toepassingen die zijn ontworpen om te worden uitgevoerd op Chrome OS en de echte en ervaren beveiligingsvoordelen van het ontwerp.

"We dringen er op aan voorzichtig te zijn met het gebruik van een van de producten van Google als veiligheid van het grootste belang is," concludeert Hansen.