Chrome OS firmy Google promowany jest jako system wolny od tradycyjnych zagrożeń, jak różne rodzaje szkodliwego oprogramowania. Jednak nie jest tak różowo, jak widać na reklamach — Chrome OS okazał się wrażliwy na inne typy ataków.
Jak poinformował serwis eSecurity Planet, na dzisiejszej konferencji Black Hat w Las Vegas pracownicy zajmującej się bezpieczeństwem firmy WhiteHat z hukiem obalili mit o bezpieczeństwie Chrome OS. Według Matta Johansena, który kierował analizą Chrome OS, i pracującego z nim Kyle'a Osborne'a ten system bardziej przypomina rozwiązanie dla urządzeń mobilnych, gdzie żeby rozbudować możliwości urządzenia trzeba zainstalować rozszerzenia narażające go na podobne typy ataków. I to właśnie rozszerzenia są głównym źródłem zagrożenia w Chrome OS. Dobrym przykładem jest rozszerzenie Cookie Stealer, które robi dokładnie to, na co wskazuje jego nazwa — kradnie z przeglądarki ciasteczka. Rozszerzenie znajdowało się w Chrome Web Store i było oznaczone jako bezpieczne. WhiteHat powiadomił Google i rozszerzenie zostało szybko usunięte, ale nie znaczy to, że sytuacja się nie powtórzy. Zwłaszcza że API udostępniane przez przeglądarkę Chrome daje dostęp do wielu ważnych danych (konto Google, dane użytkownika, ciasteczka, historia, lista otwartych kart i inne), co może spowodować falę ataków na jej użytkowników.
Podobny problem ma Android, gdyż Google nie prowadzi szczegółowej kontroli aplikacji przyjmowanych do Android Market. Ponadto luki bezpieczeństwa w systemach mobilnych z reguły ciągną za sobą poważniejsze konsekwencje, gdyż po przejęciu kontroli nad czyimś smartfonem atakujący wiedzą o jego właścicielu wszystko — od jego lokalizacji na podstawie GPS po historię przeglądania. Dodatkowym zagrożeniem, według WhiteHat, jest wprowadzona niedawno możliwość instalacji aplikacji z Android Market za pośrednictwem konta Google, więc odpowiednie rozszerzenie dla Chrome na używanym do tego komputerze może wymusić instalację złośliwej aplikacji na telefonie. Sprawia to, że według WhiteHat wszystkie rozszerzenia Chrome — czytniki RSS, powiadomienia o poczcie, aplikacje do notatek — są podejrzane. Pierwszą lukę bezpieczeństwa w Chrome OS firma znalazła krótko po premierze Chromebooków właśnie w aplikacji do robienia notatek — ScratchPad — która była domyślnie dostarczana z systemem.
Chrome OS ma jednak również zalety. Zawarte w artykule na blogu Chromium porady rzeczywiście sprawiają, że system jest bezpieczniejszy. Ponadto Johansen podkreślił, że umieszczenie każdej karty w „piaskownicy” (sandboxing) i zminimalizowanie zapotrzebowania na lokalny dysk znacznie zmniejsza pole manewru hakerów. Jednak według analityków API udostępniane programistom powinno być bardziej ograniczone.
