Google lança recurso no Chrome que deve desafiar a segurança do browser
O Google lançou a versão 14 do navegador Chrome e, com ela, o plugin “Native Client”, que está pela primeira vez ativado por padrão. O plugin tenta realizar uma tarefa corajosa: permitir que aplicativos “normais” de computador sejam executados com alto desempenho, dentro do navegador web, mas sem a capacidade de afetar negativamente o sistema operacional. Porém, o perigo existe, tanto que o Google limitou a execução do plugin aos aplicativos aprovados no "Chrome Web Store".O Native Client é abreviado como “NaCl” em referência ao cloreto de sódio (sal de cozinha). Ele está traduzido no Chrome em português para “Cliente Nativo”.
A tecnologia permite que aplicativos “normais” (“nativos”) sejam executados dentro do navegador. Programadores já conseguiram fazer funcionar até o emulador DOSBox, que serve para executar softwares de MS-DOS. Isso permite que jogos clássicos sejam executados dentro do navegador. Porém, o “NaClBox”, como é chamado, não está disponível na loja oficial do Google.
O clássico jogo de tiro “Quake” também pode ser executado dentro do Chrome por meio do NaCl. Além de o software ser executado dentro do navegador, ele pode interagir com a página de internet, abrindo novas possibilidades para desenvolvedores de sites. Isso parece, a princípio, um pesadelo para a segurança do navegador.
Para conseguir executar esses códigos de forma segura, o Native Client faz uso de tecnologias de isolamento para impedir que softwares acessem certas partes da memória. Esse tipo de função é conhecida como “sandbox”. Caso uma brecha no Native Client permita a um aplicativo “escapar” desse isolamento, ele poderá realizar alterações permanentes no computador do internauta – o que pode significar a instalação de um vírus.
Sabendo disso, o Google organizou em 2009 uma competição para que pesquisadores encontrassem falhas no Native Client, já sinalizando a importância do software para a empresa. Várias brechas foram identificadas pelos competidores e corrigidas pelo Google.
O desafio do Google é manter o Native Client seguro e a Chrome Web Store livre de aplicativos indesejados – o que não tem acontecido, por exemplo, no Android Market. No entanto, o Native Client tem uma proteção a mais que o Android, visto que os programas no Native Client não são executados diretamente no sistema, e sim no ambiente isolado do navegador.
O sucesso do Native Client será ainda mais importante para o Chrome OS – sistema operacional do Google usado nos Chromebooks. O Chrome OS funciona inteiramente na web: seu sistema de segurança é baseado na ideia de que o usuário não poderá rodar aplicativos no sistema. Um problema no Native Client, porém, poderia comprometer essa segurança.
O que o Google tem feito corretamente
O isolamento fornecido pelo Chrome e pelo Native Client tem até o momento se mostrado de alta qualidade. O código fonte do Native Client está disponível, permitindo que muitas pessoas o estudem e forneçam informações sobre falhas ao Google. Colocar o Native Client à disposição de especialistas para pesquisa de falhas também foi uma decisão acertada.
Finalmente, restringir os aplicativos de Native Client para aqueles autorizados na Chrome Web Store reduz muito as possibilidades de ataque.
Cuidados
O Native Client pode ser habilitado para ser executado em qualquer site de internet. Páginas maliciosas poderiam tirar proveito disso para tentar convencer o usuário a habilitar o plugin, oferecendo um jogo, vídeo ou outro recurso como isca. Usuários devem evitar habilitar o Native Client e também devem lembrar de desativá-lo caso o utilizem em um site seguro e que não foi autorizado no Chrome Web Store.
0 comentários:
Postar um comentário