悪意のあるWebサイトを介してChromebookをコンピューターウイルスに感染させることはできますか?


27

Chromebookが悪意のあるWebサイトを介してウイルスを受信できるかどうか疑問に思っています。最近、彼らはどんな種類のウイルスにも免疫があると聞いていますが、それが本当かどうかはわかりません。Chromebookがウイルスに感染する可能性があることを誰かが知っていますか?


15
一般的な経験則:ソフトウェアを実行している場合、感染する可能性があります。感染の確率は多くの事柄に依存しますが、これはすでに投稿された回答で十分に説明されています。
アレクサンドルオーブリー

@AlexandreAubrey(ソフトウェアを実行し、永続的なストレージがある場合)。
rackandboneman

11
@rackandbonemanいいえ、ソフトウェアを実行している場合。RAMに常駐するマルウェアは何年も前から存在しています。実際、以前は標準でした。目標がハードドライブをフォーマットするだけでなくクレジットカードの詳細を盗むことである場合、これらを再度作成することは有益です。
wizzwizz4

それだけで答える価値があるかどうかはわかりませんが、Chromebookが何らかの方法でウイルスに感染した場合(5年以上使用していない場合)、ChromeOのリセット条件であるデバイスのパワーウォッシュは非常に簡単です工場出荷時の設定。すべての設定とすべてがクラウド上にあるため、再度ログインすると、すべて通常に戻ります。パワーウォッシュ全体は、以前の状態に戻るまで15〜30分かかります。私はChromebookが大好きなので、質問があれば私にメッセージを送ってください。
サムライソウル

回答:


30

Tl; dr-はい(ただしそうではありません)。


https://en.wikipedia.org/wiki/Chrome_OSから:

Chrome OSはGoogleが設計したオペレーティングシステムであり、Linuxカーネルに基づいており、主要なユーザーインターフェースとしてGoogle Chrome Webブラウザーを使用しています。その結果、Chrome OSは主にWebアプリケーションをサポートします。

Linuxとウイルスについての情報をGoogleで探してみてください。これは低ランナーですが、前代未聞ではありません。

たとえば、Linuxにはウイルス対策が必要ですか?言う

Linuxにウイルス対策が必要かどうかについては、多くの議論があります。Linuxの支持者は、マルチユーザーのネットワーク化されたオペレーティングシステムとしてのその遺産は、優れたマルウェア防御でゼロから構築されたことを意味すると述べています。他の人は、一部のオペレーティングシステムはマルウェアに対してより耐性があるが、ウイルス耐性のあるオペレーティングシステムのようなものはまったくないというスタンスを取ります。2番目のグループは正しい– Linuxはウイルスの影響を受けない

また 、UNIXまたはLinuxコンピューターがウイルスに感染することはありますか?言う

UNIXまたはLinuxで現在知られているウイルスはほとんどありません。ただし、次の理由でウイルスチェックが必要です。

  • 他のオペレーティングシステムクライアントワークステーションのサーバーとして機能するUNIXまたはLinuxコンピュータは、Windowsマクロウイルスなど、他のウイルスタイプのキャリアになります。
  • UNIXおよびLinuxコンピューターはメールサーバーとしてよく使用され、ワー​​ムや感染した添付ファイルがデスクトップに届く前にメールをチェックできます。
  • UNIXまたはLinuxコンピューターがPCエミュレーター(「ソフトPC」)を実行している場合、そのエミュレーターで実行されているアプリケーションはウイルス、特にマクロウイルスに対して脆弱です。

だから、あなたはである少し危険ではなく、リスク

推奨読書:Chromebook How To:ウイルス、マルウェア、Chrome OSセキュリティ


4
あなたの方がずっと完全だったので、私の答えを削除しました。私はあなたの答えを複製せずにそれ以上を提供することはできませんでした... :)
スティース

2
私もあなたのものを見ませんでした。同時に投稿する必要があります(つまり、コメントに賛成です;-)。要するに、プロセッサが搭載されている場合、誰かがそのためにウイルスをコーディングしようとします。この場合、最大のリスクはブラウザプラグインです。
Mawg

6
最後の引用では、Linuxマシンでアンチウイルスを使用して自身を保護するのではなく、Windowsマシンを「下流」で保護することを提案しています。後者はLinuxの実行に関するものではありません。chromebookはこれらすべてのポイントの範囲外であるため、この質問には関係がないと感じています。
UKMonkey

3
繰り返しになりますが、Windowsにウイルス対策をインストールするべきではない(MSの独自のバージョンを除く)と主張する人がかなりいます。arstechnica.com/information-technology/2017/01/antivirus-is-bad
フランクホプキンス

1
マルウェアに対する何らかの防御を必要とするLinuxベースのシステムの例として、Android向けのマルウェアアプリのトンを検討する必要がありますか?そして、基礎となるLinuxシステムを攻撃するウイルスだけでなく、幅広い種類のマルウェアが含まれている場合、リスクはそれほど小さくないようです...
Falco

9

tl; dr

はい、注意して拡張機能をインストールしないでください。拡張機能をインストールする場合は、拡張機能が要求するアクセス許可を必ず理解してください。


:「コンピューターウイルス」の専門的な定義は特定の種類の悪意のあるアプリケーションであり、「コンピューターウイルス」の「通常の」定義は多かれ少なかれ悪意のあるアプリケーションです。OPの投稿を読んで、私は彼の質問を後者の意味の用語を使用していると解釈しました。


他の答えに完全に同意し、同じ場所から開始しますが、少し拡張します。

Chrome OSはGoogleが設計したオペレーティングシステムであり、Linuxカーネルに基づいており、主要なユーザーインターフェースとしてGoogle Chrome Webブラウザーを使用しています。その結果、Chrome OSは主にWebアプリケーションをサポートします。

ソース:ウィキペディア

Chrome:パッシブ攻撃

攻撃の説明:

  1. ウェブサイトを開きます
  2. 突然あなたはウイルスを持っています

可能性:Windows上のChromeでもこれらは信じられないほどまれですが、ChromeOS上のChromeがLinuxで実行されるという事実は、攻撃者がLinux / ChromeOSに対する攻撃を作成する「価値」がはるかに低いことを意味します。

Chrome:愚かなユーザー攻撃(マルウェア+悪意のあるサイト)

攻撃の説明:

  1. ウェブサイトを開きます
  2. ウェブサイトはユーザーに何か愚かなことをするように説得します
    • 例:ストリーミングサイト(コンテンツを著作権所有者から許可または法的権利なしに取得するタイプ)を開き、サイトはユーザーに実際にウイルスをインストールしながら欠落しているコーデックをインストールするように説得します。

可能性:Chromeは(デフォルトで)実際のLinuxアプリケーションの実行を許可しないため、攻撃対象ははるかに小さくなります。さらに、これらの攻撃のほとんどは再びWindowsをターゲットにしているため.exeDownloadsフォルダー内に不要なファイルが大量にあります。

しかし、機能し、珍しいことではない別のタイプのクロスプラットフォーム攻撃は、悪意のあるchrome拡張機能のインストールです。これらは通常、許可を要求します

  • すべてのサイトのデータを読んで変更する

とにかく、これはユーザーが何か愚かなことをすることを要求し、拡張機能が見るものを変更する許可を持っているという文字通りの警告を無視することを要求します(例えば、オンラインバンキングインターフェースを含む)。


注意:これは悪意のあるサイトで始まるものではないため、タイトルからのOPの質問には該当しませんが、本文の質問には回答します。

Android:パッシブ攻撃

攻撃の説明:

  1. 悪意のあるAndroidアプリをインストールして開きます
  2. 突然、ウイルスに感染しました(ウイルスは、パスワードを盗んだり、オンラインバンキングにアクセスしたりする可能性があるものとして再び定義されます)

可能性:Androidアプリでのサンドボックス化は非常にうまく行われているので、現時点で誰もまだそれを突破したことはありません。これは、実際にあなたがこの出来事から合理的に安全であることを意味します。もちろん、あなたが行う許可だけのChromeの拡張機能と同じように- - Androidアプリへの助成金を悪質なプレイヤーがあなたに対して使用することができます。

Linuxの攻撃対象

攻撃の説明:

  1. (前編)Linuxアプリケーションを有効にします(これはデフォルトで無効になっており、パワーユーザーのみに有効です)
  2. 無邪気なファイルを開きます
    • 例:libreofficeドキュメント
  3. 突然あなたはウイルスを持っています

可能性は:でもあればあなたがLinuxのアプリケーションを有効に行うと、あなたはすべての危険性や、通常のLinuxを実行して、多かれ少なかれに自分自身を開いて、Linux上でのウイルスは非常にまれです。これについては、Mawqの回答を参照してください。


6

Chrome OSには、ウイルスの実行、ルートへの特権の昇格、または再起動後の存続(永続化)を非常に困難にするいくつかの機能があります。

  • クロームサンドボックスPDFファイル)プロセスが何ができるかを制限します。基本的なCPUおよびメモリ使用量を除き、すべての操作はサンドボックス化されます。これは、レンダラー、javascriptプロセス、PDFレンダラーなどがサンドボックス化され、それらの呼び出しが明示的に許可されない限り、任意のsyscallの実行、任意のファイルへの書き込み、ネットワークioなどを許可されないことを意味します。

  • 検証済みブートファームウェアブート)。Chrome OSの起動はいくつかの段階で行われます。最初の段階は、マザーボード上のハードウェアスイッチによる書き込みから保護されているブートフラッシュROMです(この保護は、独自のブートローダーをフラッシュする場合は無効にできます)。Chromeファームウェアは2つの書き込み可能なスロットに保存されますが、署名は最初の段階で検証されるため、任意に変更して起動することはできません。カーネルとinitramfsはGPTボリュームとして保存され、署名されているため、これらも変更できません。実際のOSファイルシステムはVerityを使用してすべてのブロックに署名し、ブロックが読み込まれるときに署名がチェックされるため、ファイルシステムも変更できません。

  • 絶え間ない更新。Chrome OSはA / B OSインストールを使用するため、セキュリティアップデートは定期的かつ自動的に出荷され、失敗したアップデートは簡単に元に戻せます。

そのため、Chromebookでウイルスを実行するには、次のような連鎖する永続的な侵害が必要になります。

  • ネイティブコード(ウイルス)を実行するエクスプロイト
  • ファイルシステムにアクセスするためのサンドボックスエスケープ
  • OSファイルを変更するためのルートエクスプロイト
  • 修正されたOSファイルが再起動時にロードされるように、ファームウェアフラッシュまたはファイルシステムを対象とする「検証済みブート」エクスプロイト
  • 他のChromebookに広がる何らかの方法(従来のウイルスについて話している場合)

Googleは、このような永続的な妥協案を明らかにした人には10万ドルの報奨金を提供します。唯一存在するインスタンスのカップル12本が主張されています)。これらの2つ目では、5つのCVE脆弱性を連鎖させる必要がありました。簡単ではありません。


これは、コンピュータウイルスの「適切な」定義を使用する場合に当てはまりますが、OPはおそらく「適切な」ウイルスの定義ではなく、マルウェアのようなものを含むウイルスの一般的な定義を使用していました。
デビッドモルダー

はい、「マルウェア」の定義方法によって異なります。マルウェアは、Windowsで通常知られているように、コードを実行し、サンドボックスをエスケープし、永続的になるようにファイルシステムを変更する機能を引き続き必要とします。しかし、マルウェアを、悪意のあるChrome拡張機能など、ブラウザでのみ発生するものと定義すると、Chromeの実行を許可するすべてのOSが脆弱になります。
ベイン

0

Chromebookには脆弱性がありますか?

はい。

簡単な検索「のChromebook」のキーワードで、MITREのCVEウェブサイト上で、この答えを書いている時点で、9つの脆弱性レポートの結果、すべての日付2011または具体的に2012年、これらの言及「エイサーAC700、サムスンシリーズ5、およびCr-48 「。Eduard KovacsによるSecurity Week記事によると:

オンラインモニカGzob Qqを使用する研究者は、ChromeboxおよびChromebookデバイスで実行されているオペレーティングシステムであるChrome OSで永続的なコード実行を引き起こす可能性のある一連の脆弱性を特定したことを9月18日にGoogleに通知しました。

エクスプロイトチェーンには、V8 JavaScriptエンジン(CVE-2017-15401)の境界外メモリアクセスの欠陥、PageStateの特権昇格(CVE-2017-15402)、network_diagコンポーネントのコマンドインジェクション欠陥(CVE- 2017-15403)、およびcrash_reporter(CVE-2017-15404)およびcryptohomed(CVE-2017-15405)のシンボリックリンクトラバーサルの問題。

したがって、2017年のCVEエクスプロイトの別のセットがあります。

攻撃対象:

これは、Googleストアの拡張機能の脆弱性を考慮していないことに注意してください。拡張機能を追加するたびに、攻撃対象が増える可能性があります。ユーザーのプライバシーを侵害し、マシンをボットネットサービスに入れる拡張機能の興味深い例は、Trend Microの記事に記載されています

このボットネットは、被害者がアクセスするWebサイトに広告と暗号通貨マイニングコードを挿入するために使用されました。この特定のボットネットDroidclubは、使用されている最も古いコマンドアンドコントロール(C&C)ドメインの名前にちなんで名付けられました。

上記の機能に加えて、Droidclubは正当なセッションリプレイライブラリを悪用してユーザーのプライバシーを侵害します。これらのスクリプトは、ユーザーがアクセスするすべてのWebサイトに挿入されます。これらのライブラリは、ユーザーのWebサイトへのアクセスを再生するために使用されるため、サイトの所有者は、ユーザーが見たものや、マシンに入力したものなどを確認できます。

もちろん、デバイスへの物理的なアクセスは重要な要素です-ハードウェア自体が危険にさらされる可能性があります。

PC Worldの記事によると、Chromebookの攻撃対象領域が増加し、現在5年間のサポートサイクルが不足する可能性があることに注意してください。この記事では状況を明確にできないと述べていますが、明らかにGoogleはセキュリティアップデートを提供するつもりです。

ただし、この話にはもう1つしわがあります。セキュリティは「Chrome OSの重要な理念の1つ」であるため、Googleは「セキュリティパッチを拡張できるようにパートナーと協力してポリシーを更新している」デバイスのEOL日付を超えて更新されます。」

Googleは現時点ではいかなる保証も行っていませんが、少なくともセキュリティの面では5年を超えて更新を延長したいと考えているようです。また、AcerやSamsungなどのデバイスメーカーは、それを実現するために部分的に責任があるようです。

結論

要するに、はい、Chrome OSでエクスプロイトを取得できます。Mawgの回答で述べたように、Chrome OSはLinuxカーネルを使用しているため、Windows固有のエクスプロイトはChrome OSに影響しません。それにもかかわらず、Linuxカーネルのエクスプロイトに関心がある場合、それは攻撃対象を減少させません。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.