Google का ChromeOS, पहली नज़र में, ऑपरेटिंग सिस्टम सुरक्षा के लिए एक टचडाउन है। यह शायद दुनिया में सबसे सुरक्षित ऑपरेटिंग सिस्टम है (कुछ सीमित कार्यक्षमता की कीमत पर)। दुर्भाग्य से, ChromeOS रामबाण नहीं है, और प्लेटफ़ॉर्म के बारे में गंभीर सुरक्षा चिंताएँ बनी रहती हैं।
हालांकि, सबसे पहले, अच्छी खबर:
ChromeOS (सस्ता क्रोम-ब्रांडेड नेटबुक पर चलने वाला स्ट्रिप-डाउन लिनक्स ऑपरेटिंग सिस्टम) में सुरक्षा के प्रति जागरूक उपयोगकर्ताओं के लिए वास्तव में अच्छी सुविधाओं का एक समूह है। बूटलोडिंग कोड केवल-पढ़ने के लिए स्मृति में संग्रहीत किया जाता है, और बूट-अप ("सत्यापित बूट" सुविधा) से पहले ओएस कर्नेल के डिजिटल हस्ताक्षर की जांच करता है। क्योंकि बूटलोडर ROM में है, हैकर्स संभवतः चिप के साथ भौतिक रूप से छेड़छाड़ किए बिना इसे संशोधित नहीं कर सकते। यदि सिस्टम फाइलें जांच में विफल हो जाती हैं, तो बूटलोडर पूरी मशीन को फ़ैक्टरी सेटिंग्स पर रीसेट कर देगा, किसी भी दुर्भावनापूर्ण कोड को नष्ट कर देगा जो शायद डाला गया हो।
प्लेटफ़ॉर्म की सुरक्षा को और अधिक मजबूत किया गया है क्योंकि यह वेब ऐप्स पर आधारित है, जो सैंडबॉक्स में चलाए जाते हैं:उनके थ्रेड्स और मेमोरी को अलग रखा जाता है, सैद्धांतिक रूप से किसी दुर्भावनापूर्ण वेब ऐप को जानकारी तक पहुंचने या अन्य ऐप्स को नियंत्रित करने से रोकता है। सुरक्षा सुधारों वाले सिस्टम अपडेट कंप्यूटर के नेटवर्क से कनेक्ट होने पर स्वचालित रूप से और अदृश्य रूप से लागू होते हैं, ताकि यह सुनिश्चित किया जा सके कि Chromebook हमेशा अद्यतित हैं। यहां तक कि कुछ सुरक्षा विकल्प भी हैं जिन्हें आप डिवाइस पर भौतिक पहुंच के साथ हमलावरों से डिवाइस की सुरक्षा के लिए सक्षम कर सकते हैं। ChromeOS मशीन पर मैलवेयर लाने का प्रयास करना कोई महत्वपूर्ण कार्य नहीं है। आप यहां ChromeOS प्लेटफ़ॉर्म की सुरक्षा के बारे में अधिक पढ़ सकते हैं।
तो समस्या क्या है?
आप सैंडबॉक्स पर भरोसा नहीं कर सकते
दुर्भाग्य से, वेब सैंडबॉक्सिंग द्वारा दी जाने वाली सुरक्षा काफी हद तक अनौपचारिक और अप्रमाणित है। जावा सहित बहुत सारे सैंडबॉक्स में बग पाए गए हैं जो अनुप्रयोगों को उनमें से बाहर निकलने और मशीन पर मनमाने निर्देशों को निष्पादित करने की अनुमति देते हैं। ब्लैक-हैट हैकर्स द्वारा स्वयं क्रोम के खिलाफ सैंडबॉक्स-ब्रेकिंग हमलों का प्रदर्शन किया गया है। उन विशिष्ट कारनामों को अब ठीक कर दिया गया है, लेकिन इस बात की कोई गारंटी नहीं है कि और अधिक नहीं हैं। एक सुरक्षा शोधकर्ता रिक फर्ग्यूसन इसे इस तरह कहते हैं:
"सैंडबॉक्सिंग से बाहर निकलने वाले कारनामों को पहले ही इंटरनेट एक्सप्लोरर, जावा के लिए, Google एंड्रॉइड के लिए और निश्चित रूप से क्रोम ब्राउज़र (नाम के लिए लेकिन कुछ के लिए) के लिए प्रदर्शित किया जा चुका है, जबकि Google सैंडबॉक्स प्रभावी है, यह अभेद्य नहीं है और 100 प्रतिशत सुरक्षा के लिए उस पर भरोसा करना अदूरदर्शी होगा।"
यहां सबसे खराब अपराधी इंटरेक्टिव वेब है, विशेष रूप से वेबजीएल, वेब ब्राउज़र में उपयोग के लिए ओपनजीएल (एक सामान्य ग्राफिक्स लाइब्रेरी) का कार्यान्वयन। WebGL आपको अपने ब्राउज़र से ग्राफिक रूप से प्रभावशाली 3D डेमो चलाने देता है, जो वास्तव में अच्छा है (जैसे कि ये उदाहरण), लेकिन, दुर्भाग्य से, यह सुरक्षा के लिए एक बुरा सपना भी है। वेबजीएल वेब ऐप्स को मशीन के वीडियो कार्ड पर मनमाने शेडर निर्देश भेजने की अनुमति देता है, जो संभवतः सैंडबॉक्स-ब्रेकिंग कारनामों के पूरे कल्पनाशील इंद्रधनुष की अनुमति देता है। Microsoft की आधिकारिक स्थिति [टूटा हुआ URL निकाला गया] यह है कि webGL आंतरिक उपयोग के लिए बहुत असुरक्षित है:
"वेबजीएल की सुरक्षा समग्र रूप से सिस्टम के निचले स्तरों पर निर्भर करती है, जिसमें ओईएम ड्राइवर भी शामिल हैं, सुरक्षा गारंटी को कायम रखते हुए उन्हें वास्तव में पहले कभी चिंता करने की आवश्यकता नहीं है। हमले जो पहले केवल विशेषाधिकार के स्थानीय उन्नयन के परिणामस्वरूप हो सकते हैं, अब परिणाम हो सकते हैं दूरस्थ समझौता में। हालांकि इन जोखिमों को कुछ हद तक कम करना संभव हो सकता है, वेबजीएल द्वारा उजागर की गई बड़ी हमले की सतह चिंता का विषय बनी हुई है। हम उन बगों को देखने की उम्मीद करते हैं जो केवल कुछ प्लेटफॉर्म पर या कुछ वीडियो कार्ड के साथ मौजूद हैं, संभावित रूप से लक्षित हमलों की सुविधा प्रदान करते हैं। "
आप क्लाउड पर भरोसा नहीं कर सकते
हालांकि, सैंडबॉक्स के खिलाफ संभावित खतरों से भी बदतर, मंच की प्रकृति ही है। Chrome बुक, डिज़ाइन के अनुसार, क्लाउड पर बहुत अधिक निर्भर करता है। यदि आप गलती से अपना Chromebook नष्ट कर देते हैं (मान लीजिए, उस पर कदम रख कर या उसे पिघली हुई चट्टान की झील में गिरा देते हैं), तो आपका डेटा नष्ट नहीं होता है। आप बस एक नया खरीद सकते हैं, लॉग इन कर सकते हैं और अपना सारा डेटा और सेटिंग्स वापस पा सकते हैं।
दुर्भाग्य से, यह उपयोगकर्ताओं को समीकरण के क्लाउड पक्ष पर काफी जोखिम के लिए उजागर करता है। Ars Technica के सीन गैलाघेर ने अपने संपादकीय "व्हाई द एनएसए लव्स गूगल के क्रोमबुक" में बताया, हम जानते हैं कि एनएसए के पास Google के क्लाउड स्टोरेज में आक्रामक बैकडोर है (और अभी भी हो सकता है), और इसका उपयोग सभी फाइलों की जासूसी करने के लिए कर सकता है। डिस्क उपयोगकर्ताओं की संख्या, जिनमें Chromebook का उपयोग करने वाले भी शामिल हैं। जैसा कि गैलाघेर कहते हैं,
"इनमें से कोई भी अनिवार्य रूप से Google की गलती नहीं है। लेकिन यह प्लेटफ़ॉर्म के रूप में ब्राउज़र की एक कमज़ोरी है—प्रस्तुति के अलावा, अनुप्रयोगों के लिए लगभग सभी कंप्यूटिंग संसाधनों को क्लाउड में बैक अप करके, Chromebook मॉडल वन-स्टॉप शॉप बनाता है हमलावरों या पर्यवेक्षकों के लिए आपकी कंप्यूटिंग दुनिया में खुद को इंजेक्ट करने के लिए।"
यह सिर्फ एनएसए ही नहीं है। जबकि विश्वसनीय बूटलोडर आपको ऑपरेटिंग सिस्टम में लगातार, दुर्भावनापूर्ण संशोधनों से बचा सकता है जो आपके कार्यों की रिपोर्ट करते हैं, यहां तक कि एक वेब ऐप द्वारा एक भी सुरक्षा उल्लंघन आपकी कुंजी और प्रमाणीकरण विवरण चुराने के लिए पर्याप्त हो सकता है, जिसे एक हमलावर तब एक्सेस करने के लिए उपयोग कर सकता है अपने क्लाउड डेटा और अपने खाली समय में इसे ब्राउज़ करें।
नेटिव ऐप्स आ रहे हैं
मामलों को बदतर बनाने के लिए, क्रोमओएस का सैंडबॉक्स विशेष रूप से शुद्ध प्रतिमान नहीं है:ब्राउज़र एक्सटेंशन जो वेब पेजों के शीर्ष पर चलते हैं, जैसे एडब्लॉक प्लस और Google अनुवाद मशीन पर चलने वाले मूल कोड हैं, और वे सभी प्रकार की खराब चीजें कर सकते हैं ( जिसमें एडवेयर प्रदर्शित करना और आपके पासवर्ड की जासूसी करना शामिल है)। ऐसे एक्सटेंशन भी हैं जिन्हें आप डाउनलोड कर सकते हैं जो अन्य दुर्भावनापूर्ण एक्सटेंशन का पता लगा सकते हैं और हटा सकते हैं - एंटी-वायरस सॉफ़्टवेयर का एक रूप जिसकी ChromeOS को आवश्यकता नहीं है। Google के क्रेडिट के लिए, क्रोमओएस केवल क्रोम एक्सटेंशन स्टोर से ऐप्स इंस्टॉल करेगा जो पहले से ही Google की स्वीकृति प्रक्रिया के माध्यम से प्राप्त कर चुके हैं। दुर्भाग्य से, यह जाँच प्रक्रिया मानवीय निर्णय पर निर्भर करती है, और उस जाँच द्वारा प्रदान की जाने वाली गारंटियाँ अच्छी सैंडबॉक्सिंग द्वारा प्रदान की गई गारंटी की तुलना में बहुत कमज़ोर होती हैं।
यह बदतर हो जाता है:Google की योजना एंड्रॉइड ऐप के रूप में देशी ऐप्स को लागू करने की है, जो एक इंटरफ़ेस परत के माध्यम से क्रोमओएस में चलाए जाते हैं। ये नेटिव ऐप होंगे जो क्रोमओएस के लिए सुरक्षा चिंताओं की पूरी चौड़ाई और गहराई का परिचय देते हैं, और उन सुरक्षा चिंताओं को क्लाउड की कुंजी चोरी के सापेक्ष भेद्यता द्वारा और अधिक गंभीर बना दिया जाता है। उल्लंघन तब अधिक गंभीर होते हैं जब वे अदृश्य और लगातार होते हैं।
अब, निश्चित रूप से, क्रोमओएस पर अनुमत किसी भी एंड्रॉइड ऐप को दुर्भावनापूर्ण कोड के लिए Google की टीम द्वारा सावधानीपूर्वक जांचा जाएगा, लेकिन यह मशीन की सुरक्षा को लटकाए रखने के लिए पर्याप्त मजबूत गारंटी नहीं है। भले ही कोड दुर्भावनापूर्ण न हो, वे लगभग निश्चित रूप से अपने स्वयं के कारनामों और कमजोरियों के साथ आएंगे जिनका उपयोग ऑपरेटिंग सिस्टम तक पहुंच प्राप्त करने के लिए किया जा सकता है। मूल कोड खतरनाक है, और उन सुरक्षा सिद्धांतों का उल्लंघन करता है जिनका उद्देश्य ChromeOS को सुरक्षित रखना है।
ChromeOS:सुरक्षित, लेकिन चिंताएं मौजूद हैं
यहां यह दोहराना उचित है कि ChromeOS बहुत है सुरक्षित। यदि आप Windows, Linux, या OSX का उपयोग कर रहे हैं, तो ChromeOS अधिक सुरक्षित है। वास्तव में, यह प्लान 9 को छोड़कर मूल रूप से हर ऑपरेटिंग सिस्टम के लिए सच है, एक हाइपर-सिक्योर ऑपरेटिंग सिस्टम इतना अस्पष्ट है कि यह बोलने के लिए कोई 'वेयर' न होने के कारण कम से कम आंशिक रूप से मैलवेयर से बचता है। हालांकि, इसे लापरवाह होने के बहाने के रूप में न लें:क्रोमओएस के बारे में गंभीर सुरक्षा चिंताएं बनी हुई हैं, और जब आप संवेदनशील जानकारी के साथ अपने कंप्यूटर पर भरोसा करते हैं तो उन्हें ध्यान में रखना उचित है।
<छोटा>छवि क्रेडिट:शटरस्टॉक के माध्यम से एक लैपटॉप के साथ हैकर, स्टीफन शैंकलैंड द्वारा "क्रोम लैपल पिन", "क्रोमबुक", slgckgc द्वारा, "Chromebook फोटो परीक्षण", द्वारा ?? ?, "Kryha-Chiffriermaschine, Kryha-एन्क्रिप्शन डिवाइस", रयान सोमा द्वारा