Me pregunto si un Chromebook puede recibir un virus a través de un sitio web malicioso. Recientemente escuché que son inmunes a cualquier tipo de virus, pero no estoy seguro de que sea cierto. ¿Alguien sabe si las Chromebooks pueden infectarse con un virus?

Tl; dr - sí (pero poco probable).

Desde https://en.wikipedia.org/wiki/Chrome_OS :

Chrome OS es un sistema operativo diseñado por Google que se basa en el kernel de Linux y utiliza el navegador web Google Chrome como su principal interfaz de usuario. Como resultado, Chrome OS admite principalmente aplicaciones web.

Busque información sobre Linux y virus en Google y encontrará que es de bajo rendimiento, pero ciertamente no es desconocido.

Por ejemplo, ¿Linux necesita antivirus? dice

Hay mucho debate sobre si Linux necesita antivirus. Los defensores de Linux afirman que su herencia como un sistema operativo en red multiusuario significa que fue construido desde cero con una defensa superior contra malware. Otros adoptan la postura de que, si bien algunos sistemas operativos pueden ser más resistentes al malware, simplemente no existe un sistema operativo resistente a los virus. El segundo grupo es correcto: Linux no es impermeable a los virus

y ¿El ordenador UNIX o Linux infectado con un virus? dice

Actualmente se conocen pocos virus para UNIX o Linux. Sin embargo, la verificación de virus es necesaria por estos motivos:

• Las computadoras UNIX o Linux que actúan como servidores para otras estaciones de trabajo cliente del sistema operativo pueden convertirse en portadoras de otros tipos de virus, por ejemplo, virus de macro de Windows.
• Las computadoras UNIX y Linux a menudo se usan como servidores de correo, y pueden revisar el correo electrónico en busca de gusanos y archivos adjuntos infectados antes de que lleguen al escritorio.
• Si su computadora UNIX o Linux está ejecutando un emulador de PC (una 'PC suave'), las aplicaciones que se ejecutan bajo ese emulador son vulnerables a los virus, particularmente a los virus de macro.

Por lo tanto, tiene poco riesgo, pero no ningún riesgo.

Lectura recomendada: Chromebook : cómo: virus, malware y seguridad de Chrome OS

tl; dr

Sí, solo tenga cuidado y no instale ninguna extensión y, si lo hace, asegúrese de comprender los permisos que solicitan.

_{^{Nota : La definición profesional de "virus informático" es un tipo específico de aplicación maliciosa, la definición "normal" de "virus informático" es más o menos cualquier aplicación maliciosa. Al leer la publicación del OP, he interpretado que su pregunta usa el término en el último significado.}}

Totalmente de acuerdo con la otra respuesta y comenzará desde el mismo lugar, pero amplíe un poco:

Chrome OS es un sistema operativo diseñado por Google que se basa en el kernel de Linux y utiliza el navegador web Google Chrome como su principal interfaz de usuario. Como resultado, Chrome OS admite principalmente aplicaciones web.

Fuente: Wikipedia

Chrome: ataques pasivos

Descripción del ataque:

1. Abres un sitio web
2. De repente tienes un virus

Probabilidad: incluso con Chrome en Windows, estos son increíblemente poco comunes, pero el hecho de que Chrome en ChromeOS se ejecute en Linux significa que los atacantes tienen mucho menos "valor" para crear ataques para Linux / ChromeOS.

Chrome: ataques estúpidos de usuarios (malware + sitio malicioso)

Descripción del ataque:

1. Abres un sitio web
2. El sitio web convence al usuario de hacer algo estúpido
   • Ejemplo: abre un sitio de transmisión (el tipo que toma su contenido sin permiso o derecho legal del propietario de los derechos de autor) y el sitio convence a sus usuarios de instalar un códec faltante, mientras que en realidad instalan algún virus.

Probabilidad: como Chrome no permite (por defecto) ejecutar aplicaciones Linux reales, hay una superficie de ataque mucho más pequeña. Además, la mayoría de esos ataques apuntan una vez más a Windows, por lo que terminas con un montón de .exearchivos inútiles en tu Downloadscarpeta.

PERO otro tipo de ataque multiplataforma que funciona y no es raro es la instalación de extensiones de Chrome maliciosas. Por lo general, solicitarán el permiso para

• Lea y cambie sus datos en todos los sitios.

De todos modos, esto requiere que el usuario haga algo estúpido e ignore la advertencia literal de que la extensión tendrá permiso para ver y cambiar cualquier cosa que vea (incluida, por ejemplo, su interfaz de banca en línea).

Nota: Esto no comienza con un sitio malicioso, por lo que realmente no cae dentro de la pregunta del OP del título, pero sí responde la pregunta en el cuerpo.

Android: ataques pasivos

Descripción del ataque:

1. Instala y abre una aplicación maliciosa de Android
2. De repente tiene un virus (donde un virus se define nuevamente como algo que podría robar sus contraseñas o acceder a su banca en línea)

Probabilidad: el sandboxing en las aplicaciones de Android está tan bien hecho que, hasta donde yo sé, todavía nadie lo ha superado . Sin embargo, esto significa prácticamente que está razonablemente a salvo de que esto suceda. Por supuesto, cualquier permiso que hacer donación a la aplicación de Android - al igual que con las extensiones de cromo - puede ser usado en su contra por un jugador malicioso.

Superficie de ataque de Linux

Descripción del ataque:

1. (Precuela) Habilita las aplicaciones de Linux (esto está deshabilitado de forma predeterminada y solo para usuarios de energía)
2. Abres un archivo de aspecto inocente
   • Ejemplo: algún documento de libreoffice
3. De repente tienes un virus

Probabilidad: incluso si habilita las aplicaciones de Linux y se abre a más o menos todos los peligros o ejecutar Linux normal, los virus en Linux son increíblemente poco comunes. Vea la respuesta de Mawq para una discusión de esto.

Chrome OS tiene algunas características que hacen que sea muy difícil ejecutar un virus, elevar los privilegios a la raíz o sobrevivir un reinicio (volverse persistente).

• El cromo recinto de seguridad ( pdf ) limita lo que puede hacer un proceso. Todas las operaciones están protegidas, excepto el uso básico de CPU y memoria. Esto significa que el renderizador, el proceso de JavaScript, el renderizador de PDF, etc. están aislados y no se les permitirá ejecutar syscalls arbitrarias, escribir en archivos arbitrarios, hacer io de red, etc. a menos que esas llamadas estén explícitamente permitidas.

• Arranque verificado ( arranque de firmware ). El arranque de Chrome OS ocurre en varias etapas. La primera etapa es una ROM flash de arranque, que está protegida contra escritura mediante un interruptor de hardware en la placa base (esta protección se puede deshabilitar si desea actualizar su propio cargador de arranque). El firmware de Chrome se almacena en dos ranuras grabables, pero la firma se verifica en la primera etapa, por lo que no se puede modificar arbitrariamente y aún así arrancar. El kernel y initramfs se almacenan como volúmenes GPT y están firmados, por lo que tampoco se pueden modificar. El sistema de archivos del sistema operativo real usa Verity para firmar cada bloque, y la firma se verifica cuando se carga un bloque, por lo que tampoco se puede modificar el sistema de archivos.

• Actualizaciones constantes. Chrome OS utiliza una instalación de A / B OS para que las actualizaciones de seguridad se puedan enviar de forma regular y automática, y las actualizaciones fallidas se revierten fácilmente.

Entonces, para que un virus se ejecute en el Chromebook, se requeriría un compromiso persistente que encadena algo como:

• un exploit para ejecutar código nativo (el virus)
• un escape de sandbox, para acceder al sistema de archivos
• un exploit raíz, para modificar archivos del sistema operativo
• un exploit de "arranque verificado", dirigido al flash del firmware o al sistema de archivos, de modo que los archivos del sistema operativo modificado se carguen al reiniciar
• alguna forma de propagarse a otras Chromebooks (si estamos hablando de un virus tradicional)

Google ofrece una recompensa de $ 100k para cualquiera que revele un compromiso tan persistente. Solo hay un par de casos ( 1 , 2 ) en los que esto se ha reclamado. El segundo de estos requirió encadenar cinco vulnerabilidades CVE. No es fácil.

¿Las Chromebooks tienen vulnerabilidades?

Sí.

Una breve búsqueda , en el momento de escribir esta respuesta, en el sitio web CVE de MITRE por palabra clave "chromebook", da como resultado 9 informes de vulnerabilidad, todos con fecha 2011 o 2012. Específicamente, estos mencionan "Acer AC700, Samsung Series 5 y Cr-48 ". Según el artículo en la Semana de la Seguridad de Eduard Kovacs :

Un investigador que usa el apodo en línea Gzob Qq informó a Google el 18 de septiembre que había identificado una serie de vulnerabilidades que podrían conducir a la ejecución persistente de código en Chrome OS, el sistema operativo que se ejecuta en dispositivos Chromebox y Chromebook.

La cadena de exploits incluye una falla de acceso a la memoria fuera del límite en el motor V8 JavaScript (CVE-2017-15401), una escalada de privilegios en PageState (CVE-2017-15402), una falla de inyección de comando en el componente network_diag (CVE- 2017-15403) y problemas de cruce de enlaces simbólicos en crash_reporter (CVE-2017-15404) y cryptohomed (CVE-2017-15405).

Así que hay otro conjunto de exploits CVE con fecha de 2017.

Superficie de ataque:

Tenga en cuenta que esto no tiene en cuenta las vulnerabilidades en las extensiones de Google Store. Cada extensión adicional puede aumentar la superficie de ataque. En el artículo de Trend Micro se puede encontrar un ejemplo interesante de una extensión que viola la privacidad del usuario y pone la máquina en el servicio de botnet :

Esta botnet se usó para inyectar anuncios y código de minería de criptomonedas en sitios web que la víctima visitaría. Hemos denominado a este Droidclub de botnet en particular, después del nombre de uno de los dominios de comando y control (C&C) más antiguos utilizados.

Además de las características anteriores, Droidclub también abusa de las bibliotecas legítimas de reproducción de sesiones para violar la privacidad del usuario. Estas secuencias de comandos se inyectan en cada sitio web que visita el usuario. Estas bibliotecas están destinadas a reproducir la visita de un usuario a un sitio web, para que el propietario del sitio pueda ver lo que vio el usuario y lo que ingresó en la máquina, entre otras cosas.

Por supuesto, el acceso físico a los dispositivos es un factor importante: el hardware en sí podría verse comprometido.

Tenga en cuenta que la superficie de ataque puede aumentar si el Chromebook se queda sin el ciclo de soporte, que actualmente es de 5 años, según el artículo de PC World . Si bien el artículo establece que no hay claridad sobre la situación, aparentemente Google tiene la intención de proporcionar actualizaciones de seguridad:

Sin embargo, hay una arruga más en esta historia: dado que la seguridad es "uno de los principios clave de Chrome OS", Google dice que "está trabajando con nuestros socios para actualizar nuestras políticas para que podamos ampliar los parches de seguridad y actualizaciones más allá de la fecha de EOL de un dispositivo ".

Google no está haciendo ninguna garantía en este momento, pero parece que la compañía quiere extender las actualizaciones, al menos en el lado de la seguridad, más allá de cinco años. También parece que los fabricantes de dispositivos como Acer y Samsung serían parcialmente responsables de hacer que eso suceda.

Conclusión

En resumen, sí, uno puede obtener exploits en Chrome OS. Como se mencionó en la respuesta de Mawg , Chrome OS usa Linux Kernel, por lo que las vulnerabilidades específicas de Windows no afectarán a Chrome OS. Sin embargo, eso no disminuye la superficie de ataque si las vulnerabilidades del kernel de Linux son de interés.