假设我们去一家使用 Chromebook 的网吧。由于操作系统的设计使得安装软件键盘记录器(通过篡改操作系统)变得困难,而且安装硬件键盘记录器也很困难,我是否应该担心我的击键可能会被记录下来?
答案1
是的。始终假设,只要您使用一台您无法实际控制的计算机,您的活动(包括您的按键)就可能被监控/记录。
当然,Chrome OS 可能让安装软件键盘记录器变得几乎不可能,但“困难”甚至“极其困难”并不等同于“不可能”。此外,你无法知道网吧里的操作系统实际上是 Chrome OS,还是经过精心设计的其他操作系统看就像 Chrome OS。或者,它可能是一个完全合法的 Chrome OS,但运行在某种虚拟机管理程序下,而该虚拟机管理程序本身会记录您的击键。
至于硬件键盘记录器:安装起来一点也不难。如果键盘不是物理内置在计算机中(即不是笔记本电脑键盘),那么安装起来就很简单插入一个可能非常小的设备(显然这些东西现在甚至支持 wifi!)键盘线和电脑端口之间。你知道那些经常在显示器线上看到的圆形小东西吗?理论上(虽然在实践中我不知道有这样的设备),键盘记录器可以设计成以相同的方式连接到键盘电缆上,通过电信号固有产生的磁场读取键盘输入,而无需实际与任何电线进行物理接触。(我做知道以这种方式工作的硬件网络嗅探器的“吸血鬼”附件。)此外,键盘可以有内置的键盘记录器,只需要有人用一个看起来相同的、内置键盘记录器的键盘替换一个合法的键盘即可。
稍微增加一点复杂性,一个合法的键盘几乎总是有一个控制器芯片;这个芯片可以相对容易地被替换,或者添加了另一个芯片到相同的连接器,将合法的键盘变成带有内置键盘记录器的键盘。
笔记本电脑键盘更难被硬件键盘记录器侵入,但是,“更难”并不等同于“不可能”。
答案2
目前,很多 Chrome OS 都是基于一个人 (hexxeh) 的编译 (Flow、Lime、Vanilla 等) 而使用的,似乎没有人参与或与他合作。所以据你所知,他可能在他的构建中放置了一个键盘记录器,然后一路笑着去银行 - 你怎么知道的!?(有人真的调查/监控过他的构建吗!?)
答案3
如果我们只是谈论您购买新的 Chromebook 时获得的 ChromeOS,那么我会说与购买其他类型的计算设备相比,您无需担心它。
正如 @Kromey 所说,任何东西都可能受到威胁,而标准 PC 有很多潜在的漏洞。Chromebook 有内置键盘和显示器,因此外围设备更安全。除此之外,操作系统还内置了许多安全功能,如进程命名空间、存储块哈希和内核签名,以减少篡改底层操作系统的威胁(请参阅https://www.youtube.com/watch?v=1u3mTNj3TJ0)。
这使得您的 Chrome 网页、扩展程序和网络应用成为最大的风险。如果键盘记录器通过网络服务器注入网页,那么您将无能为力。扩展程序和网络应用都要求用户选择安装它们;如果您选择不安装,那么您会更安全。任何感兴趣的一方都可以查看这些扩展程序的内容,如果您知道在哪里可以找到它们,它们都是开源的。最后,Chrome 网络商店中的任何扩展程序或网络应用都必须在其清单文件中命名其所需的权限,以便用户有机会知道该程序可以对他们正在查看的网页做什么。
总体而言,我认为 Chromebook 运行的是目前最安全的消费级操作系统。部分原因是它采用定制硬件,部分原因是系统功能(和攻击面)减少。