Problema de segurança corrigido no final de junho, com o lançamento do Chrome OS 75. Etapas adicionais de correção abaixo.

sistema operacional chrome chromebook

O Google está instando os usuários do Chromebook a atualizar dispositivos para corrigir uma vulnerabilidade crítica em um recurso experimental do Chrome OS que lida com procedimentos de autenticação de dois fatores.

A vulnerabilidade afeta o recurso do Chrome OS conhecido como “chave de segurança interna”. O recurso funciona permitindo que os usuários usem um dispositivo Chromebook semelhante a uma chave de segurança USB / NFC / Bluetooth baseada em hardware.

O recurso pode ser usado ao registrar ou fazer login em um site. Os usuários podem pressionar o botão liga / desliga do Chromebook, que enviará um token criptográfico ao site, semelhante ao modo como uma chave de hardware clássica normalmente funcionaria. A diferença é que o usuário está usando o Chromebook como prova de propriedade e identidade, em vez de uma pequena chave baseada em USB, NFC ou Bluetooth.

VULNERABILIDADE ENCONTRADA NO FIRMWARE DO CHIP H1

Porém, no início deste ano, os engenheiros do Google descobriram uma vulnerabilidade no firmware dos chips H1, usados ​​para processar as operações criptográficas que fazem parte do recurso “chave de segurança interna”.

O Google descobriu que o firmware do chip estava manipulando incorretamente algumas operações e cortando acidentalmente o comprimento de algumas assinaturas criptográficas, facilitando a quebra. A explicação técnica do Google está abaixo:

Descobrimos uma vulnerabilidade no firmware do chip de segurança H1 referente à geração de assinatura ECDSA . O código do firmware usou instruções de transferência incompatíveis ao passar um valor secreto crítico para o bloco de hardware criptográfico, resultando na geração de valores secretos de uma estrutura específica e com uma perda significativa de entropia no valor secreto (64 bits em vez de 256 bits). Confirmamos que a geração incorreta do valor secreto permite que ele seja recuperado, o que, por sua vez, permite a obtenção da chave privada ECC subjacente . Assim, os atacantes que possuem um único par de assinaturas e dados assinados podem computar efetivamente a chave privada, quebrando qualquer funcionalidade ou protocolo que use o par de chaves em questão.

Como resultado, o Google diz que os invasores que obtêm “um único par de dados assinados e assinados” podem falsificar a chave de segurança do usuário sem ter acesso ao dispositivo Chrome OS do usuário.

Pares de assinaturas e dados assinados são trocados entre dispositivos e sites do Chrome OS, durante o processo de registro ou login em uma conta.

“Não esperamos que as assinaturas vulneráveis ​​tenham sido expostas amplamente, pois geralmente são transmitidas através de conexões HTTPS”, disse o Google, sobre as chances de invasores interceptarem os dados necessários para ataques durante o transporte pela Internet.

“No entanto, como a assinatura não é considerada sensível nos protocolos U2F [Universal 2nd Factor], seria inadequado supor que nenhuma assinatura tenha sido observada ou registrada / armazenada em locais onde ainda possam ser recuperadas”, acrescentou o Google. .

“Como tal, o recurso interno do autenticador U2F que gerou assinaturas vulneráveis ​​usando o firmware vulnerável H1 deve ser considerado criptograficamente quebrado.”

Mas o Google também acrescenta que esse não é um motivo para entrar em pânico. Primeiro, mesmo que os invasores obtenham assinaturas e obtenham a chave privada para criar outras assinaturas, eles teriam quebrado apenas o segundo fator no processo clássico de autenticação de dois fatores.

Os invasores ainda precisam saber ou ter a senha de um usuário para invadir as contas.

Além disso, o Google diz que mesmo uma solução U2F enfraquecida ainda está fora do alcance da maioria dos atacantes, a maioria dos quais se envolve em operações de phishing e não possui perspicácia técnica para atacar o segundo fator. Portanto, em teoria, a maioria dos usuários do Chromebook deve estar segura.

“No entanto, recomendamos que os usuários tomem as medidas de correção conforme descrito abaixo para evitar o risco de executar com um autenticador U2F enfraquecido criptograficamente”, afirmou o Google.

CORREÇÃO DE FIRMWARE DISPONÍVEL

“A correção total requer uma correção de firmware e pares de chaves desativados que geraram assinaturas vulneráveis”, acrescentou a empresa. As etapas completas estão abaixo.

  1. Atualize para o Chrome OS 75 ou posterior para receber uma correção para o firmware do chip H1. As versões de firmware H1 de produção com um número de versão 0.3.14 e anterior contêm a vulnerabilidade. As versões 0.3.15 e posteriores não são vulneráveis. A versão do firmware H1 está listada na página chrome: // system em cr50_version , especificamente na linha RW .
  2. Faça uma lista de suas contas nos sites em que você registrou uma chave de segurança gerada pelo recurso de chave de segurança interna do Chrome OS. 
  3. Cancele o registro da chave de segurança interna do Chrome OS em todos esses serviços. As instruções exatas variam de acordo com o serviço, mas geralmente existem “configurações de conta” ou “configurações de segurança” que listam as chaves de segurança registradas e oferecem a opção de remover / cancelar o registro de chaves de segurança. Não há necessidade de alterar senhas ou outras configurações de segurança da conta.
  4. (opcional) Revise os logons bem-sucedidos recentes dos serviços para determinar se há algo suspeito.
  5. Caso você tenha recebido uma notificação “A chave de segurança interna requer redefinição”, clique em “Redefinir” na notificação para impedir que ela seja exibida novamente.

MODELOS IMPACTADOS DO CHROMEBOOK

O Google afirmou que apenas as versões do Chromebook que suportam o chip H1 e o recurso interno de chave de segurança são afetadas. No entanto, se os usuários nunca usaram o recurso, eles não são afetados.

No entanto, o Google recomenda atualizar os dispositivos para o Chrome OS 75 e versões posteriores, como precaução, caso eles decidam usar o recurso no futuro. Os usuários podem visitar a página da versão chrome OS / Chrome: // para ver qual modelo / nome de código seu dispositivo possui e compará-la na lista abaixo.

  • akali360 – Acer Chromebook Spin 13 (CP713-1WN)
  • akali – Acer Chromebook 13 (CB713-1W)
  • Alan – HP Chromebook 11 G6 EE
  • aleena – Chromebook Acer 315
  • ampton – ASUS Chromebook Flip C214
  • apel – ASUS Chromebook C204
  • astronauta – Acer Chromebook 11 (C732)
  • babymako – chromebook ASUS C403
  • babymega – ASUS Chromebook C223
  • babytiger – Chromebook ASUS C523
  • barla – Chromebook HP 11A G6 EE
  • tomando sol – ASUS Chromebook C213NA / C213SA
  • bigdaddy – HP Chromebook 14 / HP Chromebook 14 G5
  • blacktip360 – Chromebook CTL NL7T-360
  • blacktip – chromebook CTL NL7
  • blacktiplte – CTL Chromebook NL7 LTE
  • azul – Acer Chromebook 15 CB315-1H / 1HT
  • bobba360 – Acer Chromebook Spin 511
  • bobba – Chromebook Acer 311
  • bob – ASUS Chromebook Flip C101PA
  • bruce – Acer Chromebook Spin 15 CP315-1H / 1HT
  • careena – Chromebook HP 14 db0000-db0999
  • dru – Acer Chromebook Tab 10 (D651N / D650N)
  • druwl – Guia CTL Chromebook Tx1
  • dumo – ASUS Chromebook Tablet CT100
  • electro – Acer Chromebook Spin 11 (R751T / CP511)
  • epaulette – Acer Chromebook 514
  • eve – Google Pixelbook
  • fleex – Chromebook 3100 da Dell
  • grabbiter – Dell Chromebook 3100 2em1
  • kasumi360 – Chromebook Spin 311 (R721T)
  • Kasumi – Chromebook 311 (C721)
  • kench – HP Chromebox G2
  • lava – Acer Chromebook Spin 11 (CP311-1H e CP311-1HN)
  • liara – Chromebook Lenovo 14e
  • meep – HP Chromebook x360 11 G2 EE
  • mimrock – Chromebook HP 11 G7 EE
  • nasher360 – Chromebook Dell 11 2 em 1 5190
  • nasher – Chromebook Dell 11 5190
  • nautiluslte – Samsung Chromebook Plus (LTE)
  • nautilus – Samsung Chromebook Plus (V2)
  • noturno – Pixel Slate
  • orbatrix – Chromebook Dell 3400
  • panteão – Chromebook Yoga C630
  • phaser360 – Chromebook Lenovo 300e / 500e 2ª geração

O Google lançou o Chrome OS 75 no final de junho. A empresa divulgou a vulnerabilidade U2F ECDSA que afeta os chips H1 no início de julho. A única crítica é que a empresa não divulgou amplamente o problema, publicando apenas um aviso na página de avisos de segurança do Chromium OS.

A partir do Chrome OS 76, o Google também começou a mostrar um alerta, solicitando aos usuários do Chromebook que redefinissem sua chave de segurança interna, para remover quaisquer chaves mais antigas que foram geradas pelo firmware mais antigo do chip H1.

chrome-os-notification-small.png

Fonte: ZDNET