Google Project Zero zajmuje się głównie wykrywaniem luk w zabezpieczeniach produktów Google, choć już niejednokrotnie dało nam znać o problemach zauważonych w Windowsie, iPhone’ach czy produktach Qualcomm. Tym razem jednak mamy do czynienia z błędem w systemie operacyjnym Chrome.
Czytaj też: ProtonMail przechodzi zmiany. Znika stara nazwa, zastąpiona przez nową, ujednoliconą markę
Zgodnie z praktyką przyjętą przez giganta z Mountain View, po zgłoszeniu błędu wyspecjalizowanemu zespołowi, programiści mają 90 dni na naprawienie problemu, w przeciwnym razie ta luka – która do tej pory pozostawała prywatna, a więc bez medialnego szumu w sieci – zostanie upubliczniona. Z racji, że nie udało się go rozwiązać, dlatego informacja o nim pojawiła się w Internecie.
Duża luka w zabezpieczeniach USB w Chrome OS
Badacze publicznie ujawnili błąd dotyczący sposobu, w jaki system operacyjny Chrome, po zablokowaniu urządzenia, obsługuje USB. Normalnie Chrome OS używa narzędzia USBGuard, dzięki któremu konfiguruje listę dozwolonych i zablokowanych działań dla urządzeń USB. Dzięki temu ogranicza ich dostęp do istotnych rzeczy na komputerze.
Czytaj też: Wykryto niecodzienne złośliwe oprogramowanie. Takich żądań cyberprzestępcy jeszcze chyba nigdy nie stawiali
Tymczasem nowo odkryty błąd generuje nieprawidłową konfigurację tego framworka, co z kolei może prowadzić do tego, że nieuwierzytelnione urządzenia USB mogą uzyskać dostęp do jądra i pamięci komputera. Warto tutaj zaznaczyć, że do wykorzystania tej luki w zabezpieczeniach konieczne jest, by atakujący ręcznie wpiął nośnik USB do sprzętu w celu manipulowania urządzeniem i jego jądrem. Nie da się wykorzystać tego zdalnie.
Czytaj też: Google ostrzega: groźne spyware Alien obrało sobie za cel użytkowników Androida
Tak czy inaczej, Google Project Zero zgłosiło tę lukę zespołowi Chrome oS 24 lutego. Oznaczono ją jako problem o wysokim poziomie ważności, tymczasem wspomniany zespół po zbadaniu usterki… przypisał jej niski poziom ważności i nic nie zrobił w kierunku jej rozwiązania. Nie wiadomo więc kiedy można spodziewać się odpowiedniej poprawki, choć mamy nadzieję, że po upublicznieniu błędu, zespół Chrome OS postanowi naprawić go jak najszybciej.