क्या Chromebook की भेद्यताएँ हैं?
हाँ।
एक संक्षिप्त खोज , "क्रोमबुक" कीवर्ड द्वारा MITRE के CVE वेबसाइट पर इस उत्तर को लिखने के समय, 9 भेद्यता रिपोर्ट, 2011 या 2012 के सभी परिणाम। विशेष रूप से, ये उल्लेख करते हैं "एसर AC700, सैमसंग सीरीज 5 और Cr-48 "। एडुआर्ड कोवाक्स द्वारा सुरक्षा सप्ताह में लेख के अनुसार :
ऑनलाइन मॉनीकर गज़ब क्यूक का उपयोग करने वाले एक शोधकर्ता ने 18 सितंबर को Google को सूचित किया कि उसने कई कमजोरियों की पहचान की है जो क्रोम ओएस और क्रोमबुक उपकरणों पर चलने वाले ऑपरेटिंग सिस्टम क्रोम ओएस पर लगातार कोड निष्पादन हो सकता है।
शोषण श्रृंखला में V8 जावास्क्रिप्ट इंजन (CVE-2017-15401) में आउट-ऑफ-बाउंड मेमोरी एक्सेस दोष, PageState (CVE-2017-15402) में विशेषाधिकार वृद्धि शामिल है, जो network_diag घटक (CVE-) में कमांड इंजेक्शन दोष है 2017-15403), और क्रैश_रेस्पोर्टर्स (सीवीई-2017-15404) और क्रिप्टोहोमेड (सीवीई-2017-15405) में सिमलिंक ट्रैवर्सल मुद्दे।
तो 2017 के CVE कारनामों का एक और सेट है।
हमले की सतह:
ध्यान दें कि यह Google स्टोर से एक्सटेंशन में कमजोरियों को ध्यान में नहीं रखता है। हर अतिरिक्त विस्तार से हमले की सतह बढ़ सकती है। एक्सटेंशन का एक दिलचस्प उदाहरण जो उपयोगकर्ता की गोपनीयता का उल्लंघन करता है और मशीन को बॉटनेट सेवा में डालता है, ट्रेंड माइक्रो के लेख में पाया जा सकता है :
इस बॉटनेट का इस्तेमाल विज्ञापनों और क्रिप्टोक्यूरेंसी माइनिंग कोड को उन वेबसाइटों में इंजेक्ट करने के लिए किया जाता था, जो पीड़ित व्यक्ति को देखने जाते हैं। हमने इस विशेष बॉटनेट Droidclub को डब किया है, जिसका इस्तेमाल सबसे पुराने कमांड-एंड-कंट्रोल (C & C) डोमेन में से एक के नाम के बाद किया गया है।
उपरोक्त सुविधाओं के अलावा, Droidclub उपयोगकर्ता की गोपनीयता का उल्लंघन करने के लिए वैध सत्र रीप्ले पुस्तकालयों का भी दुरुपयोग करता है। ये स्क्रिप्ट उपयोगकर्ता द्वारा देखी जाने वाली प्रत्येक वेबसाइट में इंजेक्ट की जाती हैं। इन पुस्तकालयों का उपयोग किसी वेबसाइट पर किसी उपयोगकर्ता की यात्रा को फिर से करने के लिए किया जाता है, ताकि साइट स्वामी यह देख सके कि उपयोगकर्ता ने क्या देखा, और उसने मशीन में क्या दर्ज किया, अन्य बातों के अलावा।
बेशक, उपकरणों के लिए भौतिक पहुंच यह एक महत्वपूर्ण कारक है - हार्डवेयर ही समझौता किया जा सकता है।
पीसी वर्ल्ड के लेख के अनुसार, ध्यान दें कि हमला करने वाली सतह क्रोमबुक के सपोर्ट चक्र से बढ़ सकती है, जो वर्तमान में 5 साल है । हालांकि लेख में कहा गया है कि स्थिति पर कोई स्पष्टता नहीं है, जाहिर है कि Google सुरक्षा अद्यतन प्रदान करने का इरादा रखता है:
हालाँकि, इस कहानी में एक और शिकन है: यह देखते हुए कि सुरक्षा "क्रोम ओएस के प्रमुख सिद्धांतों में से एक है," Google का कहना है कि यह "हमारे साझेदारों के साथ हमारी नीतियों को अपडेट करने के लिए काम कर रहा है ताकि हम सुरक्षा पैच और विस्तार कर सकें डिवाइस की ईओएल तिथि से परे अपडेट। "
Google इस बिंदु पर कोई गारंटी नहीं दे रहा है, लेकिन ऐसा लगता है कि कंपनी अपडेट का विस्तार करना चाहती है - कम से कम सुरक्षा पक्ष पर - पांच साल से परे। यह भी लगता है कि डिवाइस निर्माता जैसे एसर और सैमसंग आंशिक रूप से ऐसा करने के लिए जिम्मेदार होंगे।
निष्कर्ष
संक्षेप में, हाँ, Chrome OS पर किसी को भी शोषण मिल सकता है। जैसा कि Mawg के उत्तर में बताया गया है , Chrome OS लिनक्स कर्नेल का उपयोग करता है, इसलिए Windows- विशिष्ट कारनामे Chrome OS को प्रभावित नहीं करेंगे। फिर भी, अगर लिनक्स कर्नेल के हित में हैं तो हमले की सतह में कमी नहीं होती है।