Chrome OS, il nuovo sistema operativo made in Google, pensato appositamente per funzionare in Cloud (cioè sia i dati salvati che la maggior parte delle operazioni che normalmente esegue un computer in locale, questa volta vengono gestite direttamente sul server), sembra non sia sicuro quanto ci hanno voluto far credere. Infatti due ricercatori di White Hat Security, Matt Johanson e Kyle Osborn, hanno scoperto e presentato alla Black Hat di Las Vegas un hack che utilizza una tecnica nota come cross-site scripting (XSS) per poter sfruttare la debolezza delle estensioni di Google Chrome OS.

Ci avevano detto che Chrome OS sarebbe stato il sistema operativo più sicuro (o almeno più sicuro di Windows) al mondo, grazie al fatto che non era possibile installare nulla nel computer e che ad ogni riavvio se la macchina si accorgeva di qualche differenza, avrebbe “piallato” tutto (ripristinato la precedente versione non compromessa). Questo scenario avrebbe quindi mandato nel dimenticatoio (un buio scantinato dove in teoria avremo dovuto abbandonare tutte le cose che ci dovevamo scordare, ma che per qualche assurdo motivo poi ci ritroviamo in casa, sempre fra i piedi) Virus, Malware, Worms, Spyware, Root kit ed affini. Il problema però è che si è fatto i conti senza l’oste (cioè l’utente finale, che sempre più spesso livella verso il basso la propria perspicacia e lucidità, e naturalmente chi di “professione” cerca in ogni modo di scardinare le protezioni altrui), infatti due ricercatori di White Hat Security, Matt Johanson e Kyle Osborn, hanno portato alla luce (e presentato alla Black Hat di Las Vegas) alcune possibili “falle” che riguardano le estensioni di Google Chrome OS.
 
I due ricercatori hanno posto l’attenzione proprio sulle estensioni, per via del fatto che l’unico metodo per poter utilizzare funzionalità aggiunte è quello di implementarli a quel modo. Il problema è che il controllo da parte di google sulle estensioni, non è propriamente ferreo, e quindi è possibile che alcune possano permettere l’accesso a parte del sistema (cloud), senza che l’utente abbia però dato i permessi a riguardo (senza dimenticare possibili bug che potrebbero dare il verso a tipici attacchi XSS). Attacco che hanno portato i due ricercatori per dimostrare come sia possibile mettere a rischio privacy e sicurezza, nonostante non si installi nulla sul computer. Il programma pre installato Scratch Pad ha dimostrato di avere alcune falle (prontamente risolte da Google stessa), ma gli stessi ricercatori annunciano che ne esistono di altre anche su altre applicazioni installate. Morale della favola, la sicurezza informatica in senso assoluto non esiste, ma soprattutto google dovrebbe irrigidire i controlli sullo store e magari rimodulare e ripensare la struttura stessa delle estensioni.