Google предупредила об уязвимости во «встроенном ключе безопасности» Chrome OS

Компания Google предупредила владельцев ноутбуков Chromebook об опасной уязвимости в экспериментальной функции Chrome OS под названием «встроенный ключ безопасности», выполняющей процедуры универсальной двухфакторной аутентификации (Universal 2nd Factor, U2F). Данная функция позволяет использовать устройство Chromebook аналогично аппаратному ключу безопасности USB/NFC/Bluetooth.

Функция может использоваться при регистрации или авторизации на сайте. Пользователи могут нажать кнопку питания Chromebook, которая отправит на сайт криптографический токен, аналогичный классическому аппаратному ключу. Однако вместо ключа на основе USB, NFC или Bluetooth пользователь использует свой Chromebook в качестве доказательства владения и удостоверения личности.

Специалисты из Google обнаружили уязвимость в прошивке микросхем H1 версии 0.3.14 и более ранних, которые используются для обработки криптографических операций функции «встроенный ключ безопасности». Прошивка чипа неправильно обрабатывает некоторые операции и случайно урезает длину некоторых криптографических подписей, облегчая их взлом.

Злоумышленники, получившие «пару подписи/подписанные данные», могут удаленно подделать ключ безопасности пользователя. Но даже если преступники получат подписи и закрытый ключ для создания других подписей, они обойдут только второй фактор в процессе классической двухфакторной аутентификации. Злоумышленникам по-прежнему нужно знать логин или пароль пользователя для взлома учетных записей.

Google исправила данную уязвимость в июне нынешнего года с выпуском версии Chrome OS 75.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403 .

Источник: Securitylab