Инженеры Google рекомендуют пользователям Chrome OS как можно скорее обновить свои устройства из-за критической уязвимости, выявленной в начале года в экспериментальной функции built-in security key, связанной с процедурами двухфакторной аутентификации.
Защитная функция built-in security key позволяет пользователям Chromebook использовать свои устройства в качестве аналога аппаратных ключей USB/NFC/Bluetooth.К примеру, этой функцией можно воспользоваться при регистрации или входе на сайт. Для этого пользователям Chromebook достаточно нажать на кнопку питания, которая отправит на сайт криптографический токен, подобно тому, как делают классические аппаратные ключи. По сути, владелец Chromebook использует для идентификации и в качестве доказательства владения не небольшой ключ на основе USB, NFC или Bluetooth, но сам Chrome OS девайс.
В начале текущего года разработчики обнаружили уязвимость в прошивке чипов H1, которые используются для криптографических операций, связанных с функцией built-in security key. Как оказалось, из-за бага происходило случайное урезание длины некоторых криптографических подписей, что значительно облегчало их взлом. В итоге злоумышленники, в чьем распоряжении оказалась пара из подписи и подписанных данных (устройства Chrome OS и сайты обмениваются ими во время регистрации или входа в учетную запись), могли подделать ключ безопасности пользователя, даже не имея доступа к устройству Chrome OS.
Эксперты подчеркивают, что обычно эти данные передаются через HTTPS-соединения, что снижает риск масштабных атак. Однако подписи не считаются конфиденциальными в протоколах U2F, а значит, можно предположить, что их можно найти и извлечь из различных мест.
Несмотря на серьезность проблемы, инженеры Google говорят, что поводов для паники нет. Ведь даже получив подписи и приватный ключ для создания других подписей, злоумышленники нарушат только второй фактор в процессе классической двухфакторной аутентификации. Им по-прежнему нужно будет узнать пароль пользователя для взлома учетных записей. Специалисты полагают, что даже с учетом слабости U2F большинству злоумышленников попросту не хватит технической квалификации для реализации подобных атак.
Теперь пользователям рекомендуется обновить Chrome OS до версии 75 или новее, а затем получить и установить исправление для прошивки H1. Уязвимыми считаются прошивки версии 0.3.14 и раньше, тогда как версии 0.3.15 и выше уже безопасны. Узнать версию прошивки H1 можно на странице chrome://system в строке cr50_version (а точнее RW). После установки обновлений, нужно отменить регистрацию с помощью built-in security key на всех сайтах. Список устройств, которым угрожает данная уязвимость, можно найти здесь.