Chromebookが悪意のあるWebサイトを介してウイルスを受信できるかどうか疑問に思っています。最近、彼らはどんな種類のウイルスにも免疫があると聞いていますが、それが本当かどうかはわかりません。Chromebookがウイルスに感染する可能性があることを誰かが知っていますか？

Tl; dr-はい（ただしそうではありません）。

https://en.wikipedia.org/wiki/Chrome_OSから：

Chrome OSはGoogleが設計したオペレーティングシステムであり、Linuxカーネルに基づいており、主要なユーザーインターフェースとしてGoogle Chrome Webブラウザーを使用しています。その結果、Chrome OSは主にWebアプリケーションをサポートします。

Linuxとウイルスについての情報をGoogleで探してみてください。これは低ランナーですが、前代未聞ではありません。

たとえば、Linuxにはウイルス対策が必要ですか？言う

Linuxにウイルス対策が必要かどうかについては、多くの議論があります。Linuxの支持者は、マルチユーザーのネットワーク化されたオペレーティングシステムとしてのその遺産は、優れたマルウェア防御でゼロから構築されたことを意味すると述べています。他の人は、一部のオペレーティングシステムはマルウェアに対してより耐性があるが、ウイルス耐性のあるオペレーティングシステムのようなものはまったくないというスタンスを取ります。2番目のグループは正しい– Linuxはウイルスの影響を受けない

また 、UNIXまたはLinuxコンピューターがウイルスに感染することはありますか？言う

UNIXまたはLinuxで現在知られているウイルスはほとんどありません。ただし、次の理由でウイルスチェックが必要です。

• 他のオペレーティングシステムクライアントワークステーションのサーバーとして機能するUNIXまたはLinuxコンピュータは、Windowsマクロウイルスなど、他のウイルスタイプのキャリアになります。
• UNIXおよびLinuxコンピューターはメールサーバーとしてよく使用され、ワー​​ムや感染した添付ファイルがデスクトップに届く前にメールをチェックできます。
• UNIXまたはLinuxコンピューターがPCエミュレーター（「ソフトPC」）を実行している場合、そのエミュレーターで実行されているアプリケーションはウイルス、特にマクロウイルスに対して脆弱です。

だから、あなたはである少し危険ではなく、無リスク

推奨読書：Chromebook How To：ウイルス、マルウェア、Chrome OSセキュリティ

tl; dr

はい、注意して拡張機能をインストールしないでください。拡張機能をインストールする場合は、拡張機能が要求するアクセス許可を必ず理解してください。

_{^{注：「コンピューターウイルス」の専門的な定義は特定の種類の悪意のあるアプリケーションであり、「コンピューターウイルス」の「通常の」定義は多かれ少なかれ悪意のあるアプリケーションです。OPの投稿を読んで、私は彼の質問を後者の意味の用語を使用していると解釈しました。}}

他の答えに完全に同意し、同じ場所から開始しますが、少し拡張します。

Chrome OSはGoogleが設計したオペレーティングシステムであり、Linuxカーネルに基づいており、主要なユーザーインターフェースとしてGoogle Chrome Webブラウザーを使用しています。その結果、Chrome OSは主にWebアプリケーションをサポートします。

ソース：ウィキペディア

Chrome：パッシブ攻撃

攻撃の説明：

1. ウェブサイトを開きます
2. 突然あなたはウイルスを持っています

可能性：Windows上のChromeでもこれらは信じられないほどまれですが、ChromeOS上のChromeがLinuxで実行されるという事実は、攻撃者がLinux / ChromeOSに対する攻撃を作成する「価値」がはるかに低いことを意味します。

Chrome：愚かなユーザー攻撃（マルウェア+悪意のあるサイト）

攻撃の説明：

1. ウェブサイトを開きます
2. ウェブサイトはユーザーに何か愚かなことをするように説得します
   • 例：ストリーミングサイト（コンテンツを著作権所有者から許可または法的権利なしに取得するタイプ）を開き、サイトはユーザーに実際にウイルスをインストールしながら欠落しているコーデックをインストールするように説得します。

可能性：Chromeは（デフォルトで）実際のLinuxアプリケーションの実行を許可しないため、攻撃対象ははるかに小さくなります。さらに、これらの攻撃のほとんどは再びWindowsをターゲットにしているため.exe、Downloadsフォルダー内に不要なファイルが大量にあります。

しかし、機能し、珍しいことではない別のタイプのクロスプラットフォーム攻撃は、悪意のあるchrome拡張機能のインストールです。これらは通常、許可を要求します

• すべてのサイトのデータを読んで変更する

とにかく、これはユーザーが何か愚かなことをすることを要求し、拡張機能が見るものを変更する許可を持っているという文字通りの警告を無視することを要求します（例えば、オンラインバンキングインターフェースを含む）。

注意：これは悪意のあるサイトで始まるものではないため、タイトルからのOPの質問には該当しませんが、本文の質問には回答します。

Android：パッシブ攻撃

攻撃の説明：

1. 悪意のあるAndroidアプリをインストールして開きます
2. 突然、ウイルスに感染しました（ウイルスは、パスワードを盗んだり、オンラインバンキングにアクセスしたりする可能性があるものとして再び定義されます）

可能性：Androidアプリでのサンドボックス化は非常にうまく行われているので、現時点で誰もまだそれを突破したことはありません。これは、実際にあなたがこの出来事から合理的に安全であることを意味します。もちろん、あなたが行う許可だけのChromeの拡張機能と同じように- - Androidアプリへの助成金を悪質なプレイヤーがあなたに対して使用することができます。

Linuxの攻撃対象

攻撃の説明：

1. （前編）Linuxアプリケーションを有効にします（これはデフォルトで無効になっており、パワーユーザーのみに有効です）
2. 無邪気なファイルを開きます
   • 例：libreofficeドキュメント
3. 突然あなたはウイルスを持っています

可能性は：でもあればあなたがLinuxのアプリケーションを有効に行うと、あなたはすべての危険性や、通常のLinuxを実行して、多かれ少なかれに自分自身を開いて、Linux上でのウイルスは非常にまれです。これについては、Mawqの回答を参照してください。

Chrome OSには、ウイルスの実行、ルートへの特権の昇格、または再起動後の存続（永続化）を非常に困難にするいくつかの機能があります。

• クロームサンドボックス（PDFファイル）プロセスが何ができるかを制限します。基本的なCPUおよびメモリ使用量を除き、すべての操作はサンドボックス化されます。これは、レンダラー、javascriptプロセス、PDFレンダラーなどがサンドボックス化され、それらの呼び出しが明示的に許可されない限り、任意のsyscallの実行、任意のファイルへの書き込み、ネットワークioなどを許可されないことを意味します。

• 検証済みブート（ファームウェアブート）。Chrome OSの起動はいくつかの段階で行われます。最初の段階は、マザーボード上のハードウェアスイッチによる書き込みから保護されているブートフラッシュROMです（この保護は、独自のブートローダーをフラッシュする場合は無効にできます）。Chromeファームウェアは2つの書き込み可能なスロットに保存されますが、署名は最初の段階で検証されるため、任意に変更して起動することはできません。カーネルとinitramfsはGPTボリュームとして保存され、署名されているため、これらも変更できません。実際のOSファイルシステムはVerityを使用してすべてのブロックに署名し、ブロックが読み込まれるときに署名がチェックされるため、ファイルシステムも変更できません。

• 絶え間ない更新。Chrome OSはA / B OSインストールを使用するため、セキュリティアップデートは定期的かつ自動的に出荷され、失敗したアップデートは簡単に元に戻せます。

そのため、Chromebookでウイルスを実行するには、次のような連鎖する永続的な侵害が必要になります。

• ネイティブコード（ウイルス）を実行するエクスプロイト
• ファイルシステムにアクセスするためのサンドボックスエスケープ
• OSファイルを変更するためのルートエクスプロイト
• 修正されたOSファイルが再起動時にロードされるように、ファームウェアフラッシュまたはファイルシステムを対象とする「検証済みブート」エクスプロイト
• 他のChromebookに広がる何らかの方法（従来のウイルスについて話している場合）

Googleは、このような永続的な妥協案を明らかにした人には10万ドルの報奨金を提供します。唯一存在するインスタンスのカップル（1、2本が主張されています）。これらの2つ目では、5つのCVE脆弱性を連鎖させる必要がありました。簡単ではありません。

Chromebookには脆弱性がありますか？

はい。

簡単な検索「のChromebook」のキーワードで、MITREのCVEウェブサイト上で、この答えを書いている時点で、9つの脆弱性レポートの結果、すべての日付2011または具体的に2012年、これらの言及「エイサーAC700、サムスンシリーズ5、およびCr-48 「。Eduard KovacsによるSecurity Weekの記事によると：

オンラインモニカGzob Qqを使用する研究者は、ChromeboxおよびChromebookデバイスで実行されているオペレーティングシステムであるChrome OSで永続的なコード実行を引き起こす可能性のある一連の脆弱性を特定したことを9月18日にGoogleに通知しました。

エクスプロイトチェーンには、V8 JavaScriptエンジン（CVE-2017-15401）の境界外メモリアクセスの欠陥、PageStateの特権昇格（CVE-2017-15402）、network_diagコンポーネントのコマンドインジェクション欠陥（CVE- 2017-15403）、およびcrash_reporter（CVE-2017-15404）およびcryptohomed（CVE-2017-15405）のシンボリックリンクトラバーサルの問題。

したがって、2017年のCVEエクスプロイトの別のセットがあります。

攻撃対象：

これは、Googleストアの拡張機能の脆弱性を考慮していないことに注意してください。拡張機能を追加するたびに、攻撃対象が増える可能性があります。ユーザーのプライバシーを侵害し、マシンをボットネットサービスに入れる拡張機能の興味深い例は、Trend Microの記事に記載されています。

このボットネットは、被害者がアクセスするWebサイトに広告と暗号通貨マイニングコードを挿入するために使用されました。この特定のボットネットDroidclubは、使用されている最も古いコマンドアンドコントロール（C＆C）ドメインの名前にちなんで名付けられました。

上記の機能に加えて、Droidclubは正当なセッションリプレイライブラリを悪用してユーザーのプライバシーを侵害します。これらのスクリプトは、ユーザーがアクセスするすべてのWebサイトに挿入されます。これらのライブラリは、ユーザーのWebサイトへのアクセスを再生するために使用されるため、サイトの所有者は、ユーザーが見たものや、マシンに入力したものなどを確認できます。

もちろん、デバイスへの物理的なアクセスは重要な要素です-ハードウェア自体が危険にさらされる可能性があります。

PC Worldの記事によると、Chromebookの攻撃対象領域が増加し、現在5年間のサポートサイクルが不足する可能性があることに注意してください。この記事では状況を明確にできないと述べていますが、明らかにGoogleはセキュリティアップデートを提供するつもりです。

ただし、この話にはもう1つしわがあります。セキュリティは「Chrome OSの重要な理念の1つ」であるため、Googleは「セキュリティパッチを拡張できるようにパートナーと協力してポリシーを更新している」デバイスのEOL日付を超えて更新されます。」

Googleは現時点ではいかなる保証も行っていませんが、少なくともセキュリティの面では5年を超えて更新を延長したいと考えているようです。また、AcerやSamsungなどのデバイスメーカーは、それを実現するために部分的に責任があるようです。

結論

要するに、はい、Chrome OSでエクスプロイトを取得できます。Mawgの回答で述べたように、Chrome OSはLinuxカーネルを使用しているため、Windows固有のエクスプロイトはChrome OSに影響しません。それにもかかわらず、Linuxカーネルのエクスプロイトに関心がある場合、それは攻撃対象を減少させません。