Google dringt Chromebook-gebruikers bijwerken apparaten op te lossen er is een kritieke kwetsbaarheid in een experimentele Chrome OS-functie die behandelt twee-factor authenticatie procedures.
De kwetsbaarheid van invloed op de Chrome OS-functie bekend als de “ingebouwde beveiligings-sleutel.” De functie werkt door het toestaan van gebruikers voor het gebruik van een Chromebook apparaat dat vergelijkbaar is met een op hardware-gebaseerde USB/NFC/Bluetooth beveiligingssleutel.
De functie kan gebruikt worden bij het registreren of in te loggen op een website. Gebruikers kunnen op de Chromebook / uit-knop, die stuurt een cryptographic token voor de website, vergelijkbaar met hoe een klassieke hardware key normaal zou werken. Het verschil is dat de gebruiker met behulp van zijn Chromebook als bewijs van eigendom en identiteit, in plaats van een kleine USB, NFC of Bluetooth-based toets.
Kwetsbaarheid gevonden in H1 chip firmware
Maar eerder dit jaar, de technici van Google ontdekt een beveiligingslek in de firmware van H1 chips, die zijn gebruikt voor het verwerken van de cryptografische operaties deel van de “ingebouwde security key” functie.
Google gevonden dat de chip de firmware was verkeerd gebruik van bepaalde acties, en per ongeluk het snijden van de lengte van de cryptografische handtekeningen, waardoor ze makkelijker breken. Google ‘ s technische uitleg hieronder:
We hebben ontdekt een beveiligingslek in de H1 beveiligings-chip firmware over ECDSA handtekening generatie. De firmware code gebruikt onverenigbaar transfer instructies bij het passeren van een kritische geheim waarde aan de cryptografische hardware blok, wat resulteert in het genereren van geheime waarden van een bepaalde structuur en hebben een groot verlies van de entropie in het geheim waarde (64-bits in plaats van 256 bits). We bevestigd dat de onjuiste generatie van de geheime waarde kan worden hersteld, hetgeen op zijn beurt de onderliggende ECC private sleutel worden verkregen. Dus, aanvallers die zijn een paar van de ondertekening en de ondertekende gegevens kan het effectief berekenen van de private sleutel, het breken van de functionaliteit of protocollen die gebruik maken van de sleutel in de vraag.
Als een resultaat, Google, zegt dat de aanvallers die het verkrijgen van “een enkel paar van de ondertekening en de ondertekende gegevens” kunt fake de veiligheid van de gebruiker sleutel zonder toegang te hebben tot de gebruiker Chrome OS-apparaat.
Kleine kans op misbruik
Paren van handtekeningen en ondertekende gegevens worden uitgewisseld tussen Chrome OS-apparaten en websites, tijdens het proces van het registreren of inloggen op een account.
“We verwachten niet dat de kwetsbare handtekeningen te zijn blootgesteld in grote lijnen zoals ze meestal worden doorgegeven via HTTPS-verbindingen,” Google zei, over de kansen van aanvallers onderscheppen van de gegevens die nodig zijn voor de aanslagen tijdens de verzending over het internet.
“Echter, sinds de handtekening wordt niet beschouwd als gevoelig in de U2F [Universele 2e Factor] protocollen, het zou onvoldoende om aan te nemen dat er geen handtekeningen zijn waargenomen of vastgelegd / opgeslagen op plaatsen waar ze nog kunnen worden opgehaald uit,” Google ook toegevoegd.
“Als zodanig is de ingebouwde U2F authenticator functie die het heeft gegenereerd kwetsbare handtekeningen die gebruik maken van de kwetsbare H1 firmware moet worden beschouwd als cryptografisch gebroken.”
Maar Google voegt ook dat dit geen reden is tot paniek. Ten eerste, zelfs als de aanvallers het verkrijgen van handtekeningen en het verkrijgen van de private sleutel voor het maken van andere handtekeningen, ze zou alleen gebroken de tweede factor in de klassieke twee-factor authenticatie-proces.
Aanvallers zouden toch moeten weten of het wachtwoord van een gebruiker in te breken in de rekeningen.
Bovendien, Google zegt dat zelfs een verzwakt U2F oplossing is nog steeds weg uit het bereik van de meeste aanvallers, waarvan de meeste phishing activiteiten en niet over de technische inzicht om een aanval op de tweede factor. Dus in theorie de meeste Chromebook-gebruikers moeten veilig zijn.
“Echter, we raden gebruikers aan te nemen sanering stappen zoals hieronder is beschreven om te voorkomen dat het risico lopen met een cryptografisch verzwakt U2F authenticator,” Google gezegd.
Firmware-fix beschikbaar
“Volledige sanering vereist zowel een firmware-fix en terugtrekken van sleutelparen die gegenereerd kwetsbare handtekeningen,” voegde het bedrijf. De volledige stappen hieronder.
- Update voor Chrome OS 75 of hoger voor het ontvangen van een correctie voor de H1-chip firmware. Productie H1 firmware versies met een versie nummer van 0.3.14 en eerdere versies bevatten de kwetsbaarheid. Versies 0.3.15 en later, zijn niet kwetsbaar. De H1 firmware-versie wordt weergegeven op het chrome://systeem pagina onder cr50_version, in het bijzonder de RW-lijn.Maak een lijst met uw accounts op websites waar je je hebt ingeschreven een security sleutel die wordt gegenereerd door Chrome OS’ ingebouwde beveiliging van belangrijke functie. Registratie van het Chrome OS ingebouwde beveiligings-sleutel van al deze diensten. Exacte instructies verschillen per dienst, maar meestal zijn er “account-instellingen” of “security settings” die lijst geregistreerd beveiliging toetsen en geven u de mogelijkheid om te verwijderen / ongedaan beveiligingssleutels. Er is geen noodzaak om wachtwoorden of andere beveiliging van uw account instellingen.(optioneel) een overzicht van recente succesvolle aanmeldingen bij diensten om te bepalen of er iets verdachts.In het geval dat u hebt ontvangen van een “Interne veiligheid sleutel vereist reset” – melding, klik op “Reset” op de melding om te voorkomen dat het resultaat weer.
Beïnvloed Chromebook-modellen
Google zei dat alleen Chromebook versies die ondersteuning bieden voor de H1-chip en de ingebouwde beveiliging van belangrijke eigenschap worden beïnvloed. Als gebruikers echter nooit gebruikt de functie, ze zijn niet beïnvloed.
Toch raadt Google u aan het bijwerken van apparaten met Chrome OS 75 en boven, als een voorzorgsmaatregel, in het geval ze besluiten gebruik te maken van de functie in de toekomst. Gebruikers kunnen een bezoek aan de Chrome OS chrome://versie-pagina om te zien welk model/codename hun apparaat heeft, en vergelijk deze in de onderstaande lijst.
akali360 – Acer Chromebook Spin 13 (CP713-1WN)akali – Acer Chromebook 13 (CB713-1W)alan – HP een Chromebook 11 G6 EEaleena – Acer Chromebook 315ampton – ASUS Chromebook Flip C214apel – ASUS Chromebook C204astronaut – Acer Chromebook 11 (C732)babymako – ASUS chromebook C403babymega – ASUS Chromebook C223babytiger – ASUS Chromebook C523barla – HP een Chromebook 11A G6 EEbasking – ASUS Chromebook C213NA/C213SAbigdaddy – HP een Chromebook 14 / HP een Chromebook 14 G5blacktip360 – CTL chromebook NL7T-360blacktip – CTL chromebook NL7blacktiplte – CTL Chromebook NL7 LTEblue – Acer Chromebook 15 CB315-1H / 1HTbobba360 – Acer Chromebook Spin 511bobba – Acer Chromebook 311bob – ASUS Chromebook Flip C101PAbruce – Acer Chromebook Spin 15 CP315-1H / 1HTcareena – HP 14 Chromebook db0000-db0999dru – Acer Chromebook Tabblad 10 (D651N / D650N)druwl – CTL Chromebook Tabblad Tx1dumo – ASUS Chromebook Tablet CT100electro – Acer Chromebook Spin 11 (R751T / CP511)epaulette – Acer Chromebook 514eve – Google Pixelbookfleex – Dell Chromebook 3100grabbiter – Dell Chromebook 3100 2in1kasumi360 – Chromebook Spin 311 (R721T)kasumi – Chromebook 311 (C721)kench – HP Chromebox G2lava – Acer Chromebook Spin 11 (CP311-1H & CP311-1HN)liara – Lenovo 14e Chromebookmeep – HP een Chromebook x360 11 G2 EEmimrock – HP een Chromebook 11 G7 EEnasher360 – Dell Chromebook 11 2-in-1 5190nasher – Dell Chromebook 11 5190nautiluslte – Samsung Chromebook Plus (LTE)nautilus – Samsung Chromebook Plus (V2)nocturne – Pixel Slateorbatrix – Dell Chromebook 3400pantheon – Yoga-C630 Chromebookphaser360 – Lenovo 300e/500e Chromebook 2e Generatie
Vrijgegeven Google Chrome OS 75 eind juni. Het bedrijf bekend de U2F ECDSA kwetsbaarheid van invloed H1 chips in het begin van juli. Het enige punt van kritiek is dat het bedrijf niet breed te adverteren voor het probleem, alleen het publiceren van een advies op het Chromium OS beveiligingsadviezen pagina.
Vanaf Chrome OS 76, Google ook begonnen met het tonen van een waarschuwing, waarin gevraagd Chromebook-gebruikers te resetten hun ingebouwde beveiligings-toets, voor het verwijderen van alle oudere sleutels die werden gegenereerd via de oudere H1 chip firmware.
Afbeelding: Google
Google
Google is een kale geconfronteerd IoT leugenaar en zijn Nest broek in brand
Verdrinken in tabs? Hier is hoe te maken van Google Chrome voor u werken
Apple geschillen Google nauwkeurigheid op recente iOS hacks, en ze kan goed zijn
Android-10: De vijf beste nieuwe functies uitgelegd (ZDNet YouTube)
De beste Google-Assistent en Google Startpagina apparaten 2019 (CNET)
Hoe stroomlijnen van de samenwerking met deze G-Suite apps (TechRepublic)
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters