Een subafdeling van de Britse inlichtingendienst GCHQ heeft in een nieuw advies gewaarschuwd voor het gebruik van Chrome OS. Het besturingssysteem van Google is op Chromebooks aanwezig en wordt door steeds meer organisaties en bedrijven gebruikt.

Bij het onderzoek naar Chrome OS 32 heeft de Communications Electronics Security Group (CESG) verschillende problemen vastgesteld, onder andere bij het gebruik van een Virtual Private Network (VPN). Een VPN fungeert als een tunnel en wordt gebruikt voor het opzetten van een beveiligde verbinding naar bijvoorbeeld een bedrijfsnetwerk. Het is met name geschikt bij openbare wifi-netwerken, omdat het verkeer dat via het VPN loop niet voor anderen is te zien.

Chrome OS VPN

Het VPN in Chrome OS blijkt niet "Foundation Grade" te zijn en biedt daarnaast geen ondersteuning van een aantal van de verplichte eisen die bij wel gecontroleerde VPNs aanwezig zijn. Daarnaast kan de gebruiker het VPN uitschakelen en wordt er verkeer naar Google gestuurd voordat het VPN wordt ingeschakeld. Daardoor kan er informatie op mogelijk onbetrouwbare datanetwerken lekken, zo concludeert het CESG. Een probleem, want "geschikte producten van derde partijen" zijn niet aanwezig, zo staat in het advies.

Verder blijkt dat de data-encryptie van Chrome OS niet onafhankelijk is gecontroleerd en niet aan een aantal van de eisen voldoet die wel van andere gecontroleerde volledige schijfencryptieproducten wordt verwacht. "Zonder garantie is er een risico dat de op het apparaat opgeslagen data gecompromitteerd kan worden."

Ook is het niet mogelijk om een account te vergrendelen om brute force-aanvallen te voorkomen als het apparaat offline is. Het CESG hekelt ook het feit dat het beheer van Chrome OS-apparaten via de Google Admin Console loopt en authenticatie van gebruikers op hun apparaat afhankelijk is van Google's online diensten.