27

Мне интересно, может ли Chromebook получать вирус через вредоносный веб-сайт. Недавно я слышал, что они невосприимчивы к любому виду вируса, но я не уверен, что это правда. Кто-нибудь знает, может ли Chromebook быть заражен вирусом?

4 ответа4

30

Д-р - да (но вряд ли).


С https://en.wikipedia.org/wiki/Chrome_OS:

Chrome OS - это операционная система, разработанная Google, которая основана на ядре Linux и использует веб-браузер Google Chrome в качестве основного пользовательского интерфейса. В результате Chrome OS в первую очередь поддерживает веб-приложения.

Поищите информацию о Linux и вирусах в Google, и вы обнаружите, что она не очень популярна, но, безусловно, не случайно.

Например, нужен ли Linux антивирус? говорит

Существует много споров о том, нужен ли Linux антивирус. Сторонники Linux утверждают, что его наследие многопользовательских сетевых операционных систем означает, что он был создан с нуля с превосходной защитой от вредоносных программ. Другие считают, что хотя некоторые операционные системы могут быть более устойчивыми к вредоносным программам, просто нет такой вещи, как устойчивая к вирусам операционная система. Вторая группа верна - Linux не невосприимчив к вирусам

и может ли мой компьютер UNIX или Linux заразиться вирусом? говорит

В настоящее время известно немного вирусов для UNIX или Linux. Однако проверка на вирусы необходима по следующим причинам:

  • Компьютеры UNIX или Linux, выступающие в роли серверов для других клиентских рабочих станций операционной системы, могут стать носителями для других типов вирусов, например макровирусов Windows.
  • Компьютеры UNIX и Linux часто используются в качестве почтовых серверов и могут проверять электронную почту на наличие червей и зараженных вложений, прежде чем они попадут на рабочий стол.
  • Если на вашем компьютере UNIX или Linux работает эмулятор ПК («мягкий ПК»), приложения, работающие под этим эмулятором, уязвимы для вирусов, особенно макровирусов.

Таким образом, вы находитесь под небольшим риском, но не без риска

Рекомендуемое чтение: руководство по Chromebook: вирусы, вредоносное ПО и безопасность Chrome OS

9

ТЛ; др

Да, просто будьте осторожны и не устанавливайте никаких расширений, и если вы уверены, что понимаете разрешения, которые они запрашивают.


Примечание . Профессиональное определение "компьютерный вирус" - это определенный тип вредоносного приложения, "нормальное" определение "компьютерный вирус" - это более или менее любое вредоносное приложение. Читая пост ОП, я интерпретировал его вопрос как использующий термин в последнем значении.


Полностью согласен с другим ответом и начну с того же места, но остановимся на нем немного:

Chrome OS - это операционная система, разработанная Google, которая основана на ядре Linux и использует веб-браузер Google Chrome в качестве основного пользовательского интерфейса. В результате Chrome OS в первую очередь поддерживает веб-приложения.

Источник: Википедия

Chrome: пассивные атаки

Описание атаки:

  1. Вы открываете сайт
  2. Вдруг у тебя вирус

Вероятность: даже с Chrome на Windows это невероятно редко, но тот факт, что Chrome на ChromeOS работает на Linux, означает, что злоумышленникам гораздо менее "стоит" создавать атаки для Linux/ChromeOS.

Chrome: глупые атаки пользователей (вредоносная программа + вредоносный сайт)

Описание атаки:

  1. Вы открываете сайт
  2. Сайт убеждает пользователя сделать что-то глупое
    • Пример: вы открываете потоковый сайт (тип, который получает свое содержимое без разрешения или законного права от владельца авторских прав), и сайт убеждает своих пользователей установить отсутствующий кодек, в то время как они фактически устанавливают некоторый вирус.

Вероятность: поскольку Chrome не позволяет (по умолчанию) запускать настоящие приложения Linux, поверхность атаки намного меньше. Кроме того, большинство этих атак снова направлены на Windows, поэтому в папке « .exe » вы получите кучу бесполезных файлов Downloads .

НО другой тип кросс-платформенной атаки, которая работает и не редкость, - это установка вредоносных расширений Chrome. Обычно они запрашивают разрешение на

  • Прочитайте и измените ваши данные на всех сайтах

В любом случае, для этого требуется, чтобы пользователь сделал что-то глупое и проигнорировал буквальное предупреждение о том, что расширение будет иметь право просматривать и изменять все, что вы видите (в том числе, например, ваш интерфейс онлайн-банкинга).


Примечание. Это не начинается со вредоносного сайта, поэтому он не подпадает под вопрос ОП из заголовка, но отвечает на вопрос в основном тексте.

Android: пассивные атаки

Описание атаки:

  1. Вы устанавливаете и открываете вредоносное приложение для Android
  2. Внезапно у вас появляется вирус (где вирус снова определяется как то, что может украсть ваши пароли или получить доступ к вашему онлайн-банкингу)

Вероятность: песочница в приложениях для Android так хорошо сделана, что, насколько я знаю, никто еще не пробил ее. Это практически означает, что вы достаточно защищены от этого, хотя. Конечно, любое разрешение вы предоставляете андроид приложения - так же , как с хромом расширений - может быть использовано против вас злонамеренным игрока.

Поверхность атаки Linux

Описание атаки:

  1. (Приквел) Вы включаете приложения Linux (по умолчанию это отключено и только для пользователей, использующих питание)
  2. Вы открываете какой-то невинно выглядящий файл
    • Пример: некоторый документ libreoffice
  3. Вдруг у тебя вирус

Вероятность: даже если вы включите приложения linux и откроете себя для более или менее всех опасностей или запуска нормального linux, вирусы в Linux невероятно редки. Смотрите ответ Mawq для обсуждения этого.

6

Chrome OS имеет некоторые функции, которые сильно затрудняют запуск вируса, повышение привилегий до root или выживание после перезагрузки (становится постоянным).

  • Chrome Sandbox (pdf) ограничивает возможности процесса. Все операции находятся в «песочнице», кроме основного использования процессора и памяти. Это означает, что средство визуализации, процесс javascript, средство визуализации PDF и т.д. Помещены в «песочницу», и им не будет разрешено выполнять произвольные системные вызовы, выполнять запись в произвольные файлы, выполнять сетевые операции ввода-вывода и т.д., Если эти вызовы явно не разрешены.

  • Проверенная загрузка (Прошивка загрузки). Загрузка Chrome OS происходит в несколько этапов. Первый этап - загрузочная флэш-память, которая защищена от записи аппаратным переключателем на материнской плате (эту защиту можно отключить, если вы хотите прошить свой собственный загрузчик). Микропрограмма Chrome хранится в двух слотах для записи, но подпись проверяется на первом этапе, поэтому ее нельзя произвольно изменить и по-прежнему загружать. Ядро и initramfs хранятся в виде томов GPT и подписаны, поэтому их тоже нельзя изменить. Фактическая файловая система ОС использует Verity для подписи каждого блока, и подпись проверяется при загрузке блока, поэтому файловая система также не может быть изменена.

  • Постоянные обновления. В Chrome OS используется установка ОС A/B, поэтому обновления для системы безопасности можно отправлять регулярно и автоматически, а сбойные обновления можно легко отменить.

Таким образом, для запуска вируса на Chromebook потребуется постоянный компромисс, объединяющий что-то вроде:

  • эксплойт для запуска нативного кода (вируса)
  • выход из песочницы для доступа к файловой системе
  • корневой эксплойт для изменения файлов ОС
  • эксплойт "проверенная загрузка", предназначенный для прошивки прошивки или файловой системы, так что измененные файлы ОС будут загружаться при перезагрузке
  • какой-то способ распространения на другие Chromebook (если речь идет о традиционном вирусе)

Google предлагает вознаграждение в размере 100 тыс. Долл. Для тех, кто демонстрирует такой постоянный компромисс. Есть только пара случаев (1, 2), где это было заявлено. Второе из них потребовало объединения пяти уязвимостей CVE. Нелегко.

0

Есть ли у Chromebook уязвимости?

Да.

Краткий поиск во время написания этого ответа на веб-сайте MITRE CVE по ключевому слову "chromebook" позволил получить 9 отчетов об уязвимостях за 2011 или 2012 годы. В частности, они упоминают «Acer AC700, Samsung Series 5 и Cr-48». Согласно статье в "Неделе безопасности" Эдуарда Ковача:

18 сентября исследователь, использующий онлайн-прозвище Gzob Qq, сообщил Google, что он выявил ряд уязвимостей, которые могут привести к постоянному выполнению кода в Chrome OS, операционной системе, работающей на устройствах Chromebox и Chromebook.

Цепочка эксплойтов включает в себя недостаток доступа к памяти за пределами допустимого в движке JavaScript V8 (CVE-2017-15401), повышение привилегий в PageState (CVE-2017-15402), недостаток внедрения команд в компонент network_diag (CVE- 2017-15403), а также проблемы прохождения символической ссылки в crash_reporter (CVE-2017-15404) и в криптовалюте (CVE-2017-15405).

Так что есть еще один набор эксплойтов CVE от 2017 года.

Поверхность атаки:

Обратите внимание, что это не учитывает уязвимости в расширениях из Google Store. Каждое дополнительное расширение может увеличить поверхность атаки. Интересный пример расширения, которое нарушает конфиденциальность пользователя и переводит компьютер в службу ботнета, можно найти в статье Trend Micro:

Этот ботнет использовался для внедрения рекламы и кода майнинга криптовалюты на сайты, которые жертва посещала. Мы назвали этот конкретный ботнет Droidclub, назвав его одним из старейших командно-контрольных (C & C) доменов.

В дополнение к вышеперечисленным функциям, Droidclub также злоупотребляет законными библиотеками воспроизведения сеансов, нарушая конфиденциальность пользователя. Эти скрипты внедряются в каждый веб-сайт, который посещает пользователь. Эти библиотеки предназначены для воспроизведения визита пользователя на веб-сайт, чтобы владелец сайта, помимо прочего, мог видеть то, что видел пользователь и что он вошел в компьютер.

Конечно, физический доступ к устройствам это немаловажный фактор - само оборудование может быть скомпрометировано.

Обратите внимание, что поверхность атаки может увеличиться, если Chromebook исчерпает цикл поддержки, который в настоящее время составляет 5 лет, согласно статье PC World. Хотя в статье говорится, что в данной ситуации нет ясности, очевидно, Google намерен предоставить обновления безопасности:

Однако в этой истории есть еще один недостаток: учитывая, что безопасность является «одним из ключевых принципов Chrome OS», Google заявляет, что «работает с нашими партнерами над обновлением наших политик, чтобы мы могли расширять исправления безопасности и обновления после даты EOL устройства. ”

На данный момент Google не дает никаких гарантий, но похоже, что компания хочет продлить обновления - по крайней мере, с точки зрения безопасности - до пяти лет. Похоже, что производители устройств, такие как Acer и Samsung, частично будут нести ответственность за это.

Заключение

Короче говоря, да, можно получить эксплойты на Chrome OS. Как уже упоминалось в ответе Мога, в Chrome OS используется ядро Linux, поэтому эксплойты для Windows не влияют на Chrome OS. Тем не менее, это не уменьшает поверхность атаки, если эксплойты ядра Linux представляют интерес.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .