安全专家的观点:
我曾经就Chrome OS的安全设计问题咨询了许多位安全专家。不过由于这款操作系统刚刚出现还没有多久,因此只有少数专家给予了恢复。其中一位专家指出,此前另一位安全专家Bruce Schneier指Chrome OS是一款可以完全免疫病毒的说法完全是“白痴透顶”。
图07 ChromeOS切换程序的效果
不过,Sunbelt软件公司的CTO Eric Sites则对Chrome OS有较多的研究,他认为Chrome OS在安全防范方面做得相当好。他说:“Chrome OS的安全架构设计的非常好。唯一的麻烦是这款操作系统使用全新编写的代码,因此我们需要花上一些时间才能确定这些代码会不会导致新的安全问题。虽然Chrome OS基于苹果的webkit源码,但谷歌在编写这款操作系统时加入了很多新代码。仅就新加入的V8引擎(用于编译JavaScript脚本)而言,便需要花费大量的时间进行除错和检查”他还提醒说:“你最好把Chrome OS当作社区里新进驻的年轻人般看待,这毕竟是一款非常年轻的浏览器系统,我们需要花多年的时间对其行为和本质进行观察了解,才能下出定论。”
F-Secure公司的首席研究员Mikko Hypponen则指出,Chrome OS中借用了其它平台的一些成功经验。他说:“高级沙盒结构已经在操作系统中使用了多年了,而Chrome OS中也采用了类似的技术。”他还表示Chrome OS之所以目前看起来十分安全,是因为这款操作系统还是生面孔,无法引起攻击者的足够注意所致。“Chrome OS当然不是完美无缺的,但其构筑的安全防线还算坚固。另外,由于这种操作系统很难吸引到较多的用户,因此也很难会引起攻击者的兴趣。这些攻击者通常都会把攻击目标锁定在那些较为流行的操作系统身上,比如Windows XP这类。”
图08 ChromeOS里的快速任务
Check Point软件公司的高级开发人员James Grant,则对Chrome OS进行了深入的思考。他指出:“1)Chrom OS使用的是全新的代码,而新代码一般都会存在很多Bug;2)不过新代码也有优势,其优势便在于黑客们由于暂时不熟悉新代码,因此无法对系统进行0-day攻击,而需要花上一点时间来找到系统的漏洞所在;3)Chrome OS基于Linux,因此这里我们可以姑且预计这套操作系统的安全性和代码质量应该与Linux系统不相上下。而目前也已经有许多攻击Linux系统的恶意软件出现。假如今后Chrome OS的用户逐步增多,那么其所谓固若金汤的防御被攻破也只是一个迟早问题而已。4)尽管谷歌吹嘘说Chrome OS采用了简化的软件架构设计,但这种简化未必意味着系统安全性能会因此而有多少额外的提升。”
Check Point公司的公关经理Mirka Janus则指出,我们不应当仅仅将目光放在如何防御恶意软件上。“网络上存在各种以非法盈利为目的的攻击手段,不少攻击者还成立了专门的黑客帮会和组织来干这些坏事。而Chrome OS在对付钓鱼网站等引起的威胁方面还缺少经验。”她称赞了这款操作系统在安全方面所作出的努力:“Chrome OS的设计思想是:不信任任何应用程序,并对其权限进行限制。不过这套系统同时给予操作系统本身极大的信任度,而人们总会有办法找到攻破这套系统的方法。”
而谷歌自己也承认没有完全安全的操作系统。在他们自己对Chrome OS给出的安全评价中,他们表示:“没有一套安全方案是完美无缺的,漏洞和安全漏洞总是会存在。不过,我们并不会因此而因噎废食,放弃推出这款优秀的操作系统。”
就目前的状况而言,Chrome OS在安全方面的表现还算不错,不过,等到一年后这款操作系统正式对外发布的时候,情况又会怎么样呢?恐怕谁也说不清楚。
