是否可以通过恶意网站通过计算机病毒感染 Chromebook?

分享于 

11分钟阅读

电脑

  繁體 雙語

问题:

我想知道Chromebook是否可以通过恶意网站接收病毒。 我最近听说他们对任何病毒都有免疫力但我不确定这是不是 true。 有人知道chromebook是否会感染病毒?


回答 1:

( 但不太可能) ;dr - 是。

来自 https://en.wikipedia.org/wiki/Chrome_OS:

Chrome 操作系统是由Google设计的一个操作系统,它基于Linux内核并使用 Google Chrome web浏览器作为主用户界面。 因此,Chrome 操作系统主要支持web应用程序。

谷歌周围有关于 Linux &病毒的信息,你会发现它是低 runner的,但当然没有消息。

例如需要杀毒软件? 说

关于Linux是否需要防病毒有很多争论。 Linux的支持者将它的遗留作为多用户,网络化操作系统意味着它是从地面上构建的恶意软件。 另外一些操作系统可以更容易防止恶意软件,但是没有一种防病毒操作系统。 第二组是正确的- Linux不渗透病毒

可以我的UNIX或者Linux计算机感染病毒? 说

UNIX或者Linux目前已知的病毒数很少。 但是,对于这些原因,病毒检查是必需的:

  • UNIX或者Linux作为其他操作系统客户端工作站的服务器,可以成为其他病毒类型的载体,比如 Windows 宏病毒也可以作为服务器。
  • UNIX和Linux计算机经常被用作邮件服务器,并且可以在到达桌面之前检查电子邮件和受感染的附件。
  • 如果你的UNIX或者Linux计算机正在运行 PC 模拟器 ( a'软 PC'),那么运行在该 模拟器 下的应用程序会受到病毒的攻击,尤其是。

所以,你有 little risk风险,但没有 risk风险

推荐阅读: Chromebook如何: 病毒,恶意软件和 Chrome 操作系统安全问题。


回答 2:

dr ;博士

是的,只要小心,不要安装任何扩展,如果你确保了解他们要求的权限。

英镑注释:"计算机病毒"的专业定义是一种特定类型的恶意应用程序,"计算机病毒"的"正常"定义或多或少是恶意应用程序的。 阅读运算文章,我已经解释了他的问题,以后者的意思使用这个术语。

另一个答案完全同意,并从同一个地方开始,但在一点上展开:

Chrome 操作系统是由Google设计的一个操作系统,它基于Linux内核并使用 Google Chrome web浏览器作为主用户界面。 因此,Chrome 操作系统主要支持web应用程序。

来源:维基百科

Chrome: 被动攻击

攻击描述:

  • 你打开一个网站
  • 突然你就有了病毒
  • 可能:即使使用 Chrome,这些异常也非常罕见,但是在Linux上运行 Chrome的事实却意味着,对于攻击者来说,在Linux上创建 Linux/ChromeOS的攻击不太容易。

    Chrome: 愚蠢的用户攻击( 恶意软件+ 恶意站点)

    攻击描述:

  • 你打开一个网站
  • 网站说服用户做一些愚蠢的事情
    • 示例:打开一个流网站( 未经版权所有者许可或者法律权利而获得它的内容的类型),该站点确保用户安装缺少的编解码器,而实际上安装了一些病毒。
  • 可能性:因为 Chrome 不允许( 默认情况) 运行实际的Linux应用程序,所以攻击 Surface 会更小。 另外,大多数攻击都是 Windows,所以你最终在 Downloads 文件夹中找到了一堆无用的.exe 文件。

    收费 cross malicious malicious是安装恶意 Chrome 扩展的installation。 通常,这些请求将请求

    • 在所有站点上读取和更改数据

    总之,这要求用户做些笨重的事情,忽略文字警告,扩展将有看到( 包括你的网上银行接口)的权限。

    注意:这并不以恶意网站开始,所以它不会真正地从标题中出现,而是在正文中回答这个问题。

    Android: 被动攻击

    攻击描述:

  • 安装并打开恶意 Android 应用
  • 突然你有了病毒( 病毒再次被定义为可以窃取你的密码或者访问你的网上银行的东西)
  • 我目前已经知道,没有人拥有 broken broken。 这意味着实际上你在这种情况下是相当安全的。 当然,只要你愿意,你就可以像使用 Chrome 扩展那样对 Android 应用 进行授权。

    Linux攻击面

    攻击描述:

  • ( Prequel ) 启用linux应用程序( 默认情况下是禁用的,仅适用于 powerusers )
  • 你打开了一些无辜的文件
    • 示例:某些vim文档
  • 突然你就有了病毒
  • 如果你能启用Linux应用,你可以打开Linux的所有危险或者运行正常的Linux,在Linux上病毒是非常少见的。 有关这里问题的讨论,请参阅 mawq。


回答 3:

Chrome 操作系统有一些特性,使病毒运行非常困难,将特权提升到 root,或者重新启动( 变得持久)。

  • Chrome 沙箱 (。 pdf文件) 限制了进程可以做什么。 除了基本的CPU和内存使用之外,所有操作都是沙箱化的。 这意味着渲染器,javascript进程,PDF渲染器,等等 是沙箱,不允许执行任意的系统调用,写入任意的文件,如果这些调用是显式的,除非这些调用被显式允许。

  • 验证启动 ( 固件启动插件)。 Chrome 操作系统引导在几个阶段发生。 第一个阶段是引导 Flash ROM,它是由主板( 如果你想启动自己的引导装载程序,则可以禁用这里保护) 上的硬件 switch 编写的protected。 在这两个可以写插槽中,Chrome 固件被存储,但是签名被第一阶段验证,所以它不能被任意修改,而且仍然可以引导。 内核和initramfs存储为GPT卷并签名,因此不能对它们进行修改。 实际的操作系统 文件系统 使用 Verity 对每个 block 签名,在加载 block 时检查签名,所以文件系统不能修改。

  • Chrome 操作系统使用 A/B 操作系统安装,使安全更新可以定期和自动运行,更新失败。

因这里,对于一个在chrome操作系统上运行的病毒,它需要一个持久性的折扣来链接某些类似的东西:

  • 运行本机代码( 病毒)的开发
  • 沙箱转义,用于访问 文件系统
  • root 利用,以修改操作系统文件
  • 一个"验证的引导"开发,包括固件 Flash 或者 文件系统,这样修改后的操作系统文件将重新启动。
  • 传播到其他chromebook的方法( 如果我们正在讨论传统的病毒)

谷歌为任何人提供了一个 $100英寸的奖金,那些。 这里只有一个的实例,在这里已经被声明为。 这些要求的第二个链接将5 个。 不容易。


回答 4:

chromebook是否有漏洞?

在mitre网站上撰写这个答案时,用"chromebook"关键字在mitre网站上写了一个漏洞报告,结果是 9个漏洞报告,全部日期 2011或者 2012. 具体来说,这些提及"宏 AC700,三星系列 5和 cr-48"。 根据安全周的文章,Eduard Kovacs:

在September年,他已经通知了谷歌在 Chrome 上发现了一系列漏洞,这些漏洞可能导致在操作系统上的持久代码执行。

链包括V8引擎引擎中的一个out-of-bounds内存访问缺陷,在 PageState ( CVE-2017-15402 ) 中的特权升级,network_diag组件( CVE-2017-15403 )的命令注入缺陷和 crash_reporter ( CVE-2017-15404 ) 和 cryptohomed ( CVE-2017-15405 ) 中的符号symlink问题。

所以还有另一套漏洞利用日期 2017.

攻击面:

注意,这并不考虑到谷歌商店扩展中的漏洞。 每个附加扩展可能增加攻击 Surface。 可以发现一个有趣的扩展示例,该扩展违反用户隐私,并将机器放入僵尸网络服务中,可以在微型计算机的趋势文章中找到该服务:

这个僵尸网络被用来注入广告和cryptocurrency挖掘代码到受害者要访问的网站。 我们已经把这个特殊的僵尸网络Droidclub称为最旧的command-and-control ( c& C ) 域之一的NAME。

除了 上面 功能之外,Droidclub还滥用合法会话重播库来侵犯用户的隐私。 用户访问的每个网站都会插入这些脚本。 这些库用于重播用户访问网站,以便网站所有者可以看到用户看到的内容。

当然,对设备的物理访问是一个重要因素- 硬件本身可能会受到损害。

请注意,攻击 Surface 可能增加Chromebook的支持周期超出支持周期,这是 5年,据 PC文章的世界版本。 虽然文章还没有清晰地说明这种情况,但显然Google打算提供安全更新:

然而,这个故事还有一个更多的皱纹: 由于安全性是"这是 Chrome 操作系统的一个重要原则",谷歌表示"与我们的合作伙伴一起更新策略以便扩展安全补丁和更新。"

Google在这一点上没有任何保证,但似乎公司希望在安全side—beyond五年内扩展 updates—at。 听起来,像宏和三星这样的设备制造商将会部分负责制造这些产品。

结束语

总之,是的,你可以利用 Chrome 操作系统。 就像前面提到的mawg的回答,Chrome 操作系统使用Linux内核,因此windows特定的利用不会影响到 Chrome 操作系统。 不过,如果Linux内核的漏洞受到关注,那就不会降低 Surface的攻击。



COM  WEB  CHR  chrome  网站  INF  
相关文章