我想知道 Chromebook 是否会通过恶意网站感染病毒。我最近听说它们对任何类型的病毒都免疫,但我不确定这是真的。有人知道 Chromebook 是否会感染病毒吗?
答案1
Tl;dr - 是的(但不太可能)。
从https://en.wikipedia.org/wiki/Chrome_OS:
Chrome OS 是 Google 设计的一款基于 Linux 内核的操作系统,以 Google Chrome 网页浏览器作为主要用户界面,主要支持网页应用。
在 Google 上搜索有关 Linux 和病毒的信息,你会发现它运行得很少,但绝对不是闻所未闻。
例如,Linux 需要防病毒软件吗?说
关于 Linux 是否需要防病毒软件存在很多争议。Linux 的支持者表示,Linux 的传统是多用户、联网操作系统,这意味着它从一开始就具有卓越的恶意软件防御能力。其他人则认为,虽然某些操作系统可以更好地抵御恶意软件,但根本没有所谓的防病毒操作系统。第二组是正确的——Linux 并非不受病毒侵害
目前,UNIX 或 Linux 中已知的病毒很少。但是,出于以下原因,病毒检查是必要的:
- 作为其他操作系统客户端工作站的服务器的 UNIX 或 Linux 计算机可能成为其他病毒类型(例如 Windows 宏病毒)的载体。
- UNIX 和 Linux 计算机通常用作邮件服务器,并且可以在电子邮件到达桌面之前检查其中是否存在蠕虫和受感染的附件。
- 如果您的 UNIX 或 Linux 计算机正在运行 PC 模拟器(“软 PC”),则在该模拟器下运行的应用程序很容易受到病毒的攻击,尤其是宏病毒。
所以你现在小的风险,但不是不风险
答案2
总结
是的,只要小心,不要安装任何扩展,如果安装了,请确保您了解它们要求的权限。
笔记:“计算机病毒”的专业定义是特定类型的恶意应用程序,“计算机病毒”的“正常”定义或多或少是任何恶意应用程序。阅读 OP 的帖子后,我理解他的问题是在使用后一种含义。
完全同意另一个答案,并从同一个地方开始,但稍微扩展一下:
Chrome OS 是 Google 设计的一款基于 Linux 内核的操作系统,以 Google Chrome 网页浏览器作为主要用户界面,主要支持网页应用。
来源:维基百科
Chrome:被动攻击
攻击描述:
- 你打开一个网站
- 突然你感染了病毒
可能性:即使使用 Windows 上的 Chrome,这种情况也极为罕见,但 ChromeOS 上的 Chrome 在 Linux 上运行这一事实意味着攻击者针对 Linux/ChromeOS 发起攻击的“价值”要小得多。
Chrome:愚蠢的用户攻击(恶意软件 + 恶意网站)
攻击描述:
- 你打开一个网站
- 网站诱使用户做一些愚蠢的事情
- 示例:您打开一个流媒体网站(未经版权所有者许可或合法权利获取其内容的网站),该网站说服其用户安装缺少的编解码器,而他们实际上安装了一些病毒。
可能性:由于 Chrome 不允许(默认情况下)运行实际的 Linux 应用程序,因此攻击面要小得多。此外,大多数攻击再次针对 Windows,因此.exe您的文件夹中最终会存在一堆无用的文件Downloads。
但另一种跨平台攻击确实有效,而且很常见是安装恶意的 chrome 扩展程序。这些扩展程序通常会请求以下权限:
- 在所有网站上读取和更改您的数据
无论如何,这需要用户做一些愚蠢的事情并忽略扩展程序将有权查看和更改您看到的任何内容(例如您的网上银行界面)的文字警告。
笔记:这并不是从恶意网站开始的,所以它实际上并不属于标题中 OP 的问题,但确实回答了正文中的问题。
Android:被动攻击
攻击描述:
- 你安装并打开了一个恶意的安卓应用
- 突然你感染了病毒(病毒再次被定义为可以窃取你的密码或访问你的网上银行的东西)
可能性:Android 应用程序的沙盒机制已经做得非常好,据我所知,目前还没有人然而突破了它。这意味着实际上你不会发生这种情况。当然,你获得的任何许可做授予 Android 应用程序的权限 - 就像使用 Chrome 扩展程序一样 - 可能会被恶意玩家利用来对付你。
Linux 攻击面
攻击描述:
- (前传)您启用 Linux 应用程序(默认情况下此功能处于禁用状态,并且仅适用于高级用户)
- 你打开一些看似无害的文件
- 示例:一些 libreoffice 文档
- 突然你感染了病毒
可能性:偶数如果如果你启用了 Linux 应用程序,你就会或多或少地面临所有危险,或者运行正常的 Linux,Linux 上的病毒非常罕见。请参阅 Mawq 的回答以了解对此的讨论。
答案3
Chrome OS 的一些特性使得病毒很难运行、提升权限到 root 权限或在重启后存活(变得持久)。
这Chrome 沙盒(pdf) 限制进程可以执行的操作。除基本的 CPU 和内存使用外,所有操作都处于沙盒中。这意味着渲染器、javascript 进程、PDF 渲染器等都处于沙盒中,并且不允许执行任意系统调用、写入任意文件、执行网络 io 等,除非明确允许这些调用。
验证启动(固件启动)。Chrome OS 启动分为几个阶段。第一阶段是启动闪存 ROM,主板上的硬件开关保护其不可写入(如果您想刷新自己的引导加载程序,可以禁用此保护)。Chrome 固件存储在两个可写插槽中,但签名由第一阶段验证,因此无法随意修改并仍可启动。内核和 initramfs 存储为 GPT 卷并已签名,因此它们也无法修改。实际的 OS 文件系统使用維里蒂对每个块进行签名,并且在加载块时检查签名,因此文件系统也不能被修改。
持续更新。Chrome OS 使用 A/B OS 安装,因此可以定期自动发送安全更新,并且可以轻松恢复失败的更新。
因此,要想在 Chromebook 上运行病毒,就需要进行如下持续攻击:
- 利用漏洞运行本机代码(病毒)
- 沙箱逃逸,访问文件系统
- 根漏洞,用于修改操作系统文件
- “验证启动”漏洞,针对固件闪存或文件系统,以便在重启时加载修改后的操作系统文件
- 传播到其他 Chromebook 的某种方式(如果我们谈论的是传统病毒)
谷歌为任何揭露此类持续性入侵的人提供 10 万美元的赏金。只有几个例子(1,2) 已声明这一点。第二个漏洞需要将五个 CVE 漏洞串联起来。这并不容易。
答案4
Chromebook 是否存在漏洞?
是的。
A简短搜索在撰写此答案时,在 MITRE 的 CVE 网站上,通过“chromebook”关键字搜索,可找到 9 个漏洞报告,均发布于 2011 年或 2012 年。具体来说,这些报告提到了“Acer AC700、Samsung Series 5 和 Cr-48”。根据Eduard Kovacs 在《安全周刊》上发表的文章:
9 月 18 日,网名为 Gzob Qq 的研究人员向谷歌透露,他发现了一系列漏洞,这些漏洞可能导致 Chrome OS(Chromebox 和 Chromebook 设备上运行的操作系统)上出现持续代码执行。
该漏洞利用链包括 V8 JavaScript 引擎中的越界内存访问漏洞(CVE-2017-15401)、PageState 中的权限提升漏洞(CVE-2017-15402)、network_diag 组件中的命令注入漏洞(CVE-2017-15403)以及 crash_reporter(CVE-2017-15404)和 cryptohomed(CVE-2017-15405)中的符号链接遍历问题。
因此,还有另一组日期为 2017 年的 CVE 漏洞。
攻击面:
请注意,这没有考虑 Google Store 扩展程序中的漏洞。每个额外的扩展程序都可能增加攻击面。一个有趣的扩展程序侵犯用户隐私并将机器置于僵尸网络服务中的例子可以在Trend Micro 的文章:
该僵尸网络用于向受害者访问的网站注入广告和加密货币挖掘代码。我们将这个特定的僵尸网络命名为 Droidclub,以最古老的命令和控制 (C&C) 域名之一命名。
除了上述功能外,Droidclub 还滥用合法的会话重放库来侵犯用户的隐私。这些脚本被注入到用户访问的每个网站中。这些库旨在用于重放用户对网站的访问,以便网站所有者可以看到用户看到的内容以及他输入到机器中的内容等。
当然,对设备的物理访问是一个重要因素——硬件本身可能会受到损害。
请注意,如果 Chromebook 的支持周期结束(目前为 5 年),攻击面可能会增加。PC World 的文章虽然文章称目前情况尚不明朗,但显然谷歌确实打算提供安全更新:
然而,这个故事还有一个问题:鉴于安全是“Chrome OS 的关键原则之一”,谷歌表示它“正在与合作伙伴合作更新我们的政策,以便我们能够在设备的 EOL 日期之后延长安全补丁和更新”。
目前,谷歌尚未做出任何保证,但该公司似乎希望将更新期限延长至五年以上(至少在安全方面)。宏碁和三星等设备制造商似乎也应为实现这一目标承担部分责任。
结论
简而言之,是的,人们可以在 Chrome OS 上获取漏洞。如上所述Mawg 的回答Chrome OS 使用 Linux 内核,因此 Windows 特有的漏洞不会影响 Chrome OS。尽管如此,如果对 Linux 内核漏洞感兴趣,这不会减少攻击面。