Может ли Chromebook быть заражен компьютерным вирусом через вредоносный веб-сайт?

27

Мне интересно, может ли Chromebook получать вирус через вредоносный веб-сайт. Недавно я слышал, что они невосприимчивы к любому вирусу, но я не уверен, что это правда. Кто-нибудь знает, может ли Chromebook быть заражен вирусом?

Джим
источник
15
Общее правило: если он запускает программное обеспечение, он может быть заражен. Вероятность заражения зависит от многих вещей, которые хорошо объяснены в уже опубликованных ответах.
Александр Обри
@AlexandreAubrey, если он запускает программное обеспечение и имеет постоянное хранилище.
сторожевик
11
@rackandboneman Нет, если он запускает программное обеспечение . RAM-резидентное вредоносное ПО существует уже много лет; фактически это было нормой ; Если цель состоит в том, чтобы украсть данные кредитной карты, а не просто отформатировать жесткий диск, было бы выгодно сделать это снова.
wizzwizz4
Не уверен, стоит ли отвечать сам по себе, но ЕСЛИ ваш хромбук каким-то образом заражен вирусом (у меня никогда не было вируса за 5+ лет его использования), его действительно легко вывести из строя устройством, которое ChromeOs использует для сброса на заводские настройки. Поскольку все ваши настройки и все находятся в облаке, после входа в систему все вернется в нормальное состояние. Вся стирка занимает 15-30 минут, пока вы не вернетесь в состояние, в котором вы были раньше. Я люблю Chromebook, поэтому не стесняйтесь сообщать мне, если у вас есть вопросы.
Самурайзул

Ответы:

30

Д-р - да (но вряд ли).


С https://en.wikipedia.org/wiki/Chrome_OS :

Chrome OS - это операционная система, разработанная Google, которая основана на ядре Linux и использует веб-браузер Google Chrome в качестве основного пользовательского интерфейса. В результате Chrome OS в первую очередь поддерживает веб-приложения.

Поищите информацию о Linux и вирусах в Google, и вы обнаружите, что он не очень популярен, но, конечно, не случайно.

Например, нужен ли Linux антивирус? говорит

Существует много споров о том, нужен ли Linux антивирус. Сторонники Linux утверждают, что его наследие многопользовательских сетевых операционных систем означает, что он был создан с нуля с превосходной защитой от вредоносных программ. Другие считают, что, хотя некоторые операционные системы могут быть более устойчивыми к вредоносным программам, просто не существует такой вещи, как устойчивая к вирусам операционная система. Вторая группа верна - Linux не невосприимчив к вирусам

и может ли мой компьютер UNIX или Linux заразиться вирусом? говорит

В настоящее время известно немного вирусов для UNIX или Linux. Однако проверка на вирусы необходима по следующим причинам:

  • Компьютеры UNIX или Linux, выступающие в роли серверов для других клиентских рабочих станций операционной системы, могут стать носителями для других типов вирусов, например, макросов Windows
  • Компьютеры UNIX и Linux часто используются в качестве почтовых серверов и могут проверять электронную почту на наличие червей и зараженных вложений, прежде чем они попадут на рабочий стол.
  • Если на вашем компьютере UNIX или Linux работает эмулятор ПК («мягкий ПК»), приложения, работающие под этим эмулятором, уязвимы для вирусов, особенно макровирусов.

Таким образом, вы находитесь под небольшим риском, но не без риска

Рекомендуемое чтение: руководство по Chromebook: вирусы, вредоносное ПО и безопасность Chrome OS

Mawg
источник
4
удалил мой ответ, так как ваш был более полным. Я не мог бы предоставить больше, не
повторяя
2
Я даже не видел твоего; мы должны были публиковать сообщения одновременно (так что добавьте ваш комментарий ;-). В итоге, если у него есть процессор, кто-то попытается закодировать для него вирус. В этом случае самые большие риски - плагины для браузера.
Mawg
6
Ваша последняя цитата говорит о том, что вы используете антивирус на машине linux не для того, чтобы защитить себя, а для защиты машин под управлением Windows «вниз по течению»; последняя часть не о запуске Linux вообще. Поскольку Chromebook выходит за рамки всех этих вопросов, я чувствую, что это не имеет отношения к вопросу.
UKMonkey
3
с другой стороны, есть немало людей, которые утверждают, что вам даже не следует устанавливать антивирус на Windows (возможно, кроме собственной версии MS), поскольку это откроет еще один вектор атаки для вирусов, которые в первую очередь попадут в вашу систему. arstechnica.com/information-technology/2017/01/antivirus-is-bad
Фрэнк Хопкинс
1
Следует ли рассматривать тонны вредоносных приложений для Android в качестве примера для системы на основе Linux, которая нуждается в какой-либо форме защиты от вредоносных программ? И риск кажется не таким маленьким, когда в него входит множество разнообразных вредоносных программ, а не только вирусы, атакующие основную систему Linux ...
Falco
9

ТЛ; др

Да, просто будьте осторожны и не устанавливайте никаких расширений, и если вы уверены, что понимаете разрешения, которые они запрашивают.


Примечание : профессиональное определение «компьютерный вирус» - это определенный тип вредоносного приложения, «нормальное» определение «компьютерный вирус» - это более или менее любое вредоносное приложение. Читая пост ОП, я интерпретировал его вопрос как использующий термин в последнем значении.


Полностью согласен с другим ответом и начну с того же места, но остановимся на нем немного:

Chrome OS - это операционная система, разработанная Google, которая основана на ядре Linux и использует веб-браузер Google Chrome в качестве основного пользовательского интерфейса. В результате Chrome OS в первую очередь поддерживает веб-приложения.

Источник: Википедия

Chrome: пассивные атаки

Описание атаки:

  1. Вы открываете сайт
  2. Вдруг у тебя вирус

Вероятность: даже с Chrome на Windows это невероятно редко, но тот факт, что Chrome на ChromeOS работает на Linux, означает, что злоумышленникам гораздо менее «стоит» создавать атаки для Linux / ChromeOS.

Chrome: глупые атаки пользователей (вредоносная программа + вредоносный сайт)

Описание атаки:

  1. Вы открываете сайт
  2. Сайт убеждает пользователя сделать что-то глупое
    • Пример: вы открываете потоковый сайт (тип, который получает свое содержимое без разрешения или законного права от владельца авторских прав), и сайт убеждает своих пользователей установить отсутствующий кодек, в то время как они фактически устанавливают некоторый вирус.

Вероятность: поскольку Chrome не позволяет (по умолчанию) запускать настоящие приложения Linux, поверхность атаки намного меньше. Кроме того, большинство этих атак снова нацелено на Windows, так что в итоге вы получите кучу ненужных .exeфайлов в вашей Downloadsпапке.

НО другой тип кросс-платформенной атаки, которая работает и не редкость, - это установка вредоносных расширений Chrome. Обычно они запрашивают разрешение на

  • Прочитайте и измените свои данные на всех сайтах

В любом случае, для этого требуется, чтобы пользователь сделал что-то глупое и проигнорировал буквальное предупреждение о том, что расширение будет иметь право просматривать и изменять все, что вы видите (включая, например, ваш интерфейс онлайн-банкинга).


Примечание. Это не начинается со вредоносного сайта, поэтому он не подпадает под вопрос ОП из заголовка, но отвечает на вопрос в теле.

Android: пассивные атаки

Описание атаки:

  1. Вы устанавливаете и открываете вредоносное приложение для Android
  2. Внезапно у вас появляется вирус (где вирус снова определяется как то, что может украсть ваши пароли или получить доступ к вашему онлайн-банкингу)

Вероятность: песочница в приложениях для Android сделана настолько хорошо, что, насколько я знаю, никто еще не пробил ее. Это практически означает, что вы достаточно защищены от этого, хотя. Конечно, любое разрешение вы делаете грант андроид приложения - так же , как с расширениями хром - может быть использовано против вас злонамеренным игрока.

Поверхность атаки Linux

Описание атаки:

  1. (Приквел) Вы включаете приложения Linux (по умолчанию это отключено и только для пользователей, использующих питание)
  2. Вы открываете невинный файл
    • Пример: некоторый документ libreoffice
  3. Вдруг у тебя вирус

Вероятность: даже если вы включите приложения linux и откроете себя для более или менее всех опасностей или запуска нормального linux, вирусы в Linux невероятно редки. Смотрите ответ Mawq для обсуждения этого.

Дэвид Малдер
источник
6

Chrome OS имеет некоторые функции, которые сильно затрудняют запуск вируса, повышение привилегий для пользователя root или выживание после перезагрузки (становится постоянным).

  • Chrome Sandbox ( PDF ) ограничивает то , что процесс может сделать. Все операции находятся в «песочнице», кроме основного использования процессора и памяти. Это означает, что средство визуализации, процесс javascript, средство визуализации PDF и т. Д. Находятся в изолированной программной среде, и им не будет разрешено выполнять произвольные системные вызовы, записывать в произвольные файлы, выполнять сетевые операции ввода-вывода и т. Д., Если эти вызовы явно не разрешены.

  • Проверенная загрузка ( Прошивка загрузки ). Загрузка Chrome OS происходит в несколько этапов. Первый этап - это загрузочная флэш-память, которая защищена от записи аппаратным переключателем на материнской плате (эту защиту можно отключить, если вы хотите прошить свой собственный загрузчик). Микропрограмма Chrome хранится в двух слотах для записи, но подпись проверяется на первом этапе, поэтому ее нельзя произвольно изменить и по-прежнему загружать. Ядро и initramfs хранятся в виде томов GPT и подписаны, поэтому их тоже нельзя изменить. Фактическая файловая система ОС использует Verity для подписи каждого блока, и подпись проверяется при загрузке блока, поэтому файловая система также не может быть изменена.

  • Постоянные обновления. Chrome OS использует установку A / B OS, чтобы обновления для системы безопасности могли поставляться регулярно и автоматически, а сбойные обновления можно было легко отменить.

Таким образом, для запуска вируса на Chromebook потребуется постоянный компромисс, объединяющий что-то вроде:

  • эксплойт для запуска нативного кода (вируса)
  • выход из песочницы для доступа к файловой системе
  • корневой эксплойт для изменения файлов ОС
  • эксплойт «проверенная загрузка», предназначенный для прошивки прошивки или файловой системы, так что измененные файлы ОС будут загружаться при перезагрузке
  • какой-то способ распространения на другие Chromebook (если речь идет о традиционном вирусе)

Google предлагает вознаграждение в размере 100 тыс. Долл. Для тех, кто демонстрирует такой постоянный компромисс. Есть только пара случаев ( 1 , 2 ), где это было заявлено. Второе из них потребовало объединения пяти уязвимостей CVE. Не просто.

Bain
источник
Это верно, если вы берете «правильное» определение компьютерного вируса, но ОП, скорее всего, не использует «правильное» определение вируса, а скорее общее определение вируса, которое включает в себя такие вещи, как вредоносные программы.
Дэвид Малдер
Да, это зависит от того, как вы определяете «вредоносное ПО». Вредоносным программам, как это обычно известно в Windows, все равно потребуется возможность запуска кода, выхода из песочницы и изменения файловой системы, чтобы она стала постоянной. Но если вы определяете вредоносное ПО как нечто, происходящее исключительно в браузере, например, как вредоносное расширение Chrome, то каждая ОС, которая позволяет запускать Chrome, уязвима.
Bain
1

Есть ли у Chromebook уязвимости?

Да.

Поиск краток , в момент написания этого ответа, на веб - сайте CVE митру путем «Chromebook» ключевое слово, результаты в 9 сообщения об уязвимостях, все датированный 2011 или 2012. В частности, это упоминание «Acer AC700, Samsung Series 5 и Cr-48 ». Согласно статье в «Неделе безопасности» Эдуарда Ковача :

18 сентября исследователь, использующий онлайн-прозвище Gzob Qq, сообщил Google, что он выявил ряд уязвимостей, которые могут привести к постоянному выполнению кода на Chrome OS, операционной системе, работающей на устройствах Chromebox и Chromebook.

Цепочка эксплойтов включает в себя недостаток доступа к памяти за пределами допустимого в движке JavaScript V8 (CVE-2017-15401), повышение привилегий в PageState (CVE-2017-15402), недостаток внедрения команд в компонент network_diag (CVE- 2017-15403), а также проблемы прохождения символьных ссылок в crash_reporter (CVE-2017-15404) и в криптовалюте (CVE-2017-15405).

Так что есть еще один набор эксплойтов CVE от 2017 года.

Поверхность атаки:

Обратите внимание, что это не учитывает уязвимости в расширениях из Google Store. Каждое дополнительное расширение может увеличить поверхность атаки. Интересный пример расширения, которое нарушает конфиденциальность пользователя и переводит компьютер в службу ботнета, можно найти в статье Trend Micro :

Этот ботнет использовался для внедрения рекламы и кода майнинга криптовалюты на сайты, которые жертва посетит. Мы назвали этот конкретный ботнет Droidclub, назвав его одним из старейших командно-контрольных (C & C) доменов.

В дополнение к вышеперечисленным функциям Droidclub также злоупотребляет законными библиотеками воспроизведения сеансов, нарушая конфиденциальность пользователя. Эти скрипты внедряются в каждый веб-сайт, который посещает пользователь. Эти библиотеки предназначены для воспроизведения визита пользователя на веб-сайт, чтобы владелец сайта, помимо прочего, мог видеть то, что видел пользователь и что он вошел в компьютер.

Конечно, физический доступ к устройствам это немаловажный фактор - само оборудование может быть скомпрометировано.

Обратите внимание, что поверхность атаки может увеличиться, если Chromebook исчерпает цикл поддержки, который в настоящее время составляет 5 лет, согласно статье PC World . Хотя в статье говорится, что в данной ситуации нет ясности, очевидно, Google намерен предоставить обновления безопасности:

Однако есть и еще один недостаток этой истории: учитывая, что безопасность является «одним из ключевых принципов Chrome OS», Google заявляет, что «работает с нашими партнерами над обновлением наших политик, чтобы мы могли расширять исправления безопасности и обновления после даты EOL устройства. ”

На данный момент Google не дает никаких гарантий, но похоже, что компания хочет продлить обновления - по крайней мере, с точки зрения безопасности - до пяти лет. Похоже, что производители устройств, такие как Acer и Samsung, частично будут нести ответственность за это.

Вывод

Короче говоря, да, можно получить эксплойты на Chrome OS. Как уже упоминалось в ответе Мога , в Chrome OS используется ядро ​​Linux, поэтому эксплойты для Windows не влияют на Chrome OS. Тем не менее, это не уменьшает поверхность атаки, если эксплойты ядра Linux представляют интерес.

Сергей Колодяжный
источник