Je me demande si un Chromebook peut recevoir un virus via un site Web malveillant. J'ai récemment entendu dire qu'ils sont immunisés contre tout type de virus, mais je ne suis pas sûr que ce soit vrai. Quelqu'un sait-il si les Chromebooks peuvent être infectés par un virus?

Tl; dr - oui (mais peu probable).

De https://en.wikipedia.org/wiki/Chrome_OS :

Chrome OS est un système d'exploitation conçu par Google qui est basé sur le noyau Linux et utilise le navigateur Web Google Chrome comme interface utilisateur principale. Par conséquent, Chrome OS prend principalement en charge les applications Web.

Cherchez des informations sur Linux et les virus sur Google et vous constaterez qu'il est faible, mais certainement pas inconnu.

Par exemple, Linux a-t - il besoin d'un antivirus? dit

Il y a beaucoup de débat quant à savoir si Linux a besoin d'un antivirus. Les partisans de Linux affirment que son héritage en tant que systèmes d'exploitation en réseau multi-utilisateurs signifie qu'il a été construit à partir de zéro avec une défense supérieure contre les logiciels malveillants. D'autres estiment que même si certains systèmes d'exploitation peuvent être plus résistants aux logiciels malveillants, il n'existe tout simplement pas de système d'exploitation résistant aux virus. Le deuxième groupe est correct - Linux n'est pas imperméable aux virus

et mon ordinateur UNIX ou Linux peut-il être infecté par un virus? dit

Peu de virus sont actuellement connus pour UNIX ou Linux. Cependant, la vérification des virus est nécessaire pour ces raisons:

• Les ordinateurs UNIX ou Linux faisant office de serveurs pour d'autres postes de travail clients du système d'exploitation peuvent devenir porteurs d'autres types de virus, par exemple les virus de macro Windows.
• Les ordinateurs UNIX et Linux sont souvent utilisés comme serveurs de messagerie et peuvent rechercher dans les e-mails des vers et des pièces jointes infectées avant qu'ils n'atteignent le bureau.
• Si votre ordinateur UNIX ou Linux exécute un émulateur PC (un «PC logiciel»), les applications exécutées sous cet émulateur sont vulnérables aux virus, en particulier aux virus de macro.

Donc, vous êtes à peu le risque, mais pas sans risque

Lecture recommandée: Comment utiliser le Chromebook: Virus, programmes malveillants et sécurité de Chrome OS

tl; dr

Oui, soyez prudent et n'installez aucune extension et si vous vous assurez de bien comprendre les autorisations demandées.

_{^{Remarque : La définition professionnelle de "virus informatique" est un type spécifique d'application malveillante, la définition "normale" de "virus informatique" est plus ou moins toute application malveillante. En lisant le message du PO, j'ai interprété sa question comme utilisant le terme dans ce dernier sens.}}

Tout à fait d'accord avec l'autre réponse et partira du même endroit, mais développez-le un peu:

Chrome OS est un système d'exploitation conçu par Google qui est basé sur le noyau Linux et utilise le navigateur Web Google Chrome comme interface utilisateur principale. Par conséquent, Chrome OS prend principalement en charge les applications Web.

Source: Wikipedia

Chrome: attaques passives

Description de l'attaque:

1. Vous ouvrez un site Web
2. Soudain, vous avez un virus

Probabilité: même avec Chrome sur Windows, cela est incroyablement rare, mais le fait que Chrome sur ChromeOS fonctionne sur Linux signifie qu'il est beaucoup moins "utile" pour les attaquants de créer des attaques pour Linux / ChromeOS.

Chrome: attaques stupides des utilisateurs (malware + site malveillant)

Description de l'attaque:

1. Vous ouvrez un site Web
2. Le site Web convainc l'utilisateur de faire quelque chose de stupide
   • Exemple: vous ouvrez un site de streaming (le type qui prend son contenu sans autorisation ou droit légal du propriétaire des droits d'auteur) et le site convainc ses utilisateurs d'installer un codec manquant, alors qu'ils installent en fait un virus.

Probabilité: comme Chrome ne permet pas (par défaut) d'exécuter des applications Linux réelles, la surface d'attaque est beaucoup plus petite. De plus, la plupart de ces attaques ciblent à nouveau Windows, vous vous retrouvez donc avec un tas de .exefichiers inutiles dans votre Downloadsdossier.

MAIS un autre type d'attaque multiplateforme qui fonctionne et n'est pas rare est l'installation d'extensions malveillantes de chrome. Ceux-ci demandent généralement l'autorisation de

• Lisez et modifiez vos données sur tous les sites

Quoi qu'il en soit, cela oblige l'utilisateur à faire quelque chose de stupide et à ignorer l'avertissement littéral que l'extension aura la permission de voir et de changer tout ce que vous voyez (y compris par exemple votre interface bancaire en ligne).

Remarque: Cela ne commence pas par un site malveillant, donc cela ne relève pas vraiment de la question du PO du titre, mais répond à la question dans le corps.

Android: attaques passives

Description de l'attaque:

1. Vous installez et ouvrez une application Android malveillante
2. Soudain, vous avez un virus (où un virus est à nouveau défini comme quelque chose qui pourrait voler vos mots de passe ou accéder à vos services bancaires en ligne)

Probabilité: le sandboxing sur les applications Android est si bien fait que, pour autant que je sache, personne ne l'a encore franchi. Cela signifie cependant que vous êtes raisonnablement à l'abri de tout cela. Bien sûr, toute autorisation vous faire don à l'application Android - comme avec les extensions de chrome - peut être utilisé contre vous par un joueur malveillant.

Surface d'attaque Linux

Description de l'attaque:

1. (Prequel) Vous activez les applications Linux (ceci est désactivé par défaut et uniquement pour les utilisateurs avancés)
2. Vous ouvrez un fichier à la recherche innocente
   • Exemple: un document libreoffice
3. Soudain, vous avez un virus

Probabilité: même si vous activez les applications linux et que vous vous ouvrez à plus ou moins tous les dangers ou que vous utilisez linux normal, les virus sur Linux sont incroyablement rares. Voir la réponse de Mawq pour une discussion à ce sujet.

Chrome OS possède certaines fonctionnalités qui rendent très difficile l'exécution d'un virus, l'élévation des privilèges de root ou la survie d'un redémarrage (devenu persistant).

• Le Chrome Sandbox ( pdf ) limite ce qu'un processus peut faire. Toutes les opérations sont en bac à sable, à l'exception de l'utilisation de base du processeur et de la mémoire. Cela signifie que le moteur de rendu, le processus javascript, le moteur de rendu PDF, etc. sont mis en bac à sable et ne seront pas autorisés à exécuter des appels système arbitraires, à écrire dans des fichiers arbitraires, à effectuer des io réseau, etc., sauf si ces appels sont explicitement autorisés.

• Démarrage vérifié ( démarrage du micrologiciel ). Le démarrage de Chrome OS se déroule en plusieurs étapes. La première étape est une ROM flash de démarrage, qui est protégée contre l'écriture par un commutateur matériel sur la carte mère (cette protection peut être désactivée si vous voulez flasher votre propre chargeur de démarrage). Le micrologiciel Chrome est stocké dans deux emplacements inscriptibles, mais la signature est vérifiée par la première étape, il ne peut donc pas être modifié arbitrairement et toujours démarrer. Le noyau et les initramfs sont stockés en tant que volumes GPT et sont signés, donc ceux-ci ne peuvent pas être modifiés non plus. Le système de fichiers du système d'exploitation réel utilise Verity pour signer chaque bloc, et la signature est vérifiée lorsqu'un bloc est chargé, de sorte que le système de fichiers ne peut pas non plus être modifié.

• Mises à jour constantes. Chrome OS utilise une installation A / B OS afin que les mises à jour de sécurité puissent être expédiées régulièrement et automatiquement, les mises à jour ayant échoué étant facilement annulées.

Ainsi, pour qu'un virus s'exécute sur le Chromebook, il faudrait un compromis persistant qui enchaîne quelque chose comme:

• un exploit pour exécuter du code natif (le virus)
• une échappée sandbox, pour accéder au système de fichiers
• un exploit root, afin de modifier les fichiers OS
• un exploit de "démarrage vérifié", ciblant le flash du micrologiciel ou le système de fichiers, afin que les fichiers du système d'exploitation modifiés soient chargés au redémarrage
• un moyen de se propager à d'autres Chromebooks (si nous parlons d'un virus traditionnel)

Google offre une prime de 100 000 $ à toute personne qui révèle un compromis aussi persistant. Il n'y a que quelques cas ( 1 , 2 ) où cela a été réclamé. La seconde d'entre elles nécessitait de chaîner cinq vulnérabilités CVE. Pas facile.

Les Chromebooks présentent-ils des vulnérabilités?

Oui.

Une brève recherche , au moment de la rédaction de cette réponse, sur le site Web de MITRE CVE par mot-clé «chromebook», donne 9 rapports de vulnérabilité, tous datés de 2011 ou 2012. Plus précisément, ceux-ci mentionnent «Acer AC700, Samsung Series 5 et Cr-48 ". Selon l' article de la semaine de la sécurité d'Eduard Kovacs :

Un chercheur qui utilise le surnom en ligne Gzob Qq a informé Google le 18 septembre qu'il avait identifié une série de vulnérabilités pouvant conduire à l'exécution persistante de code sur Chrome OS, le système d'exploitation fonctionnant sur les appareils Chromebox et Chromebook.

La chaîne d'exploitation comprend une faille d'accès à la mémoire hors limites dans le moteur JavaScript V8 (CVE-2017-15401), une élévation de privilèges dans PageState (CVE-2017-15402), une faille d'injection de commande dans le composant network_diag (CVE- 2017-15403) et les problèmes de traversée de liens symboliques dans crash_reporter (CVE-2017-15404) et cryptohomed (CVE-2017-15405).

Il y a donc un autre ensemble d'exploits CVE daté de 2017.

Surface d'attaque:

Notez que cela ne prend pas en compte les vulnérabilités dans les extensions de Google Store. Chaque extension supplémentaire peut augmenter la surface d'attaque. Un exemple intéressant d'une extension qui viole la confidentialité de l'utilisateur et met la machine en service de botnet peut être trouvé dans l'article de Trend Micro :

Ce botnet a été utilisé pour injecter des publicités et du code d'exploration de crypto-monnaie dans les sites Web que la victime visiterait. Nous avons surnommé ce botnet Droidclub particulier, du nom de l'un des plus anciens domaines de commande et de contrôle (C&C) utilisés.

En plus des fonctionnalités ci-dessus, Droidclub abuse également des bibliothèques de relecture de session légitimes pour violer la confidentialité de l'utilisateur. Ces scripts sont injectés dans chaque site Web visité par l'utilisateur. Ces bibliothèques sont destinées à être utilisées pour rejouer la visite d'un utilisateur sur un site Web, afin que le propriétaire du site puisse voir ce que l'utilisateur a vu et ce qu'il a entré dans la machine, entre autres.

Bien sûr, l'accès physique aux appareils est un facteur important - le matériel lui-même pourrait être compromis.

Notez que la surface d'attaque peut augmenter, car le Chromebook sort du cycle de support, qui est actuellement de 5 ans, selon l'article de PC World . Bien que l'article indique qu'il n'y a pas de clarté sur la situation, Google a apparemment l'intention de fournir des mises à jour de sécurité:

Il y a, cependant, une autre ride à cette histoire: étant donné que la sécurité est "l'un des principes clés de Chrome OS", Google dit qu'il "travaille avec nos partenaires pour mettre à jour nos politiques afin que nous puissions étendre les correctifs de sécurité et mises à jour au-delà de la date de fin de vie d'un appareil. "

Google ne fait aucune garantie à ce stade, mais il semble que la société souhaite étendre les mises à jour, au moins du point de vue de la sécurité, au-delà de cinq ans. Il semble également que les fabricants d'appareils tels que Acer et Samsung seraient partiellement responsables de la réalisation de cet objectif.

Conclusion

En bref, oui, on peut obtenir des exploits sur Chrome OS. Comme mentionné dans la réponse de Mawg , Chrome OS utilise le noyau Linux, donc les exploits spécifiques à Windows n'affecteront pas Chrome OS. Néanmoins, cela ne diminue pas la surface d'attaque si les exploits du noyau Linux sont intéressants.