• Chrome OS’ta Kritik Bir Güvenlik Açığı Olduğu Açıklandı
9
3
1
0
0
Google, kendi işletim sistemi ChromeOS ile çalışan Chromebook dizüstü bilgisayar sahiplerinden, iki faktörlü kimlik doğrulama işlemi gerçekleştiren deneysel bir Chrome OS özelliğindeki kritik bir güvenlik açığını gidermek için bir güncelleme yapmalarını istedi. Peki Chrome OS’daki bu önemli güvenlik açığı tam olarak neydi?

Google, Chrome OS’nin “yerleşik güvenlik anahtarı” özelliğinde geçtiğimiz aylarda bir güvenlik açığı tespit etti. Chrome OS’nin yerleşik güvenlik anahtarı, kullanıcıların bir internet sitesine üye olurken ya da giriş yaparken kullanılabiliyor. Yerleşik güvenlik anahtarı ile beraber kullanıcılar bilgisayarın power tuşuna basarak klasik bir usb ya da bluetooth cihazını bağlar gibi sitelere üye olabiliyor ya da siteye kendi bilgileri ile girebiliyor. 

Google, H1 yonga ürününü kullanan Chromebook’larda yerleşik güvenlik anahtarı kullanımında bir güvenlik açığını buldu. Google’ın mühendisleri, H1 çipinin bazı şifreleme imzalarının uzunluğunu yanlış şekilde kestiğini ve şifrelerin kırılmasını kolaylaştırdığını keşfetti. Google, konuyla ilgili şu açıklamayı yaptı: 

chromebook

“H1 güvenlik yongasının yazılımında ECDSA imzası oluşturma ile ilgili bir güvenlik açığı olduğunu keşfettik. Yazılım kodu, kritik bir gizli değeri kriptografik donanım bloğuna geçirirken uyumsuz transfer talimatlarını kullandı, bu da belirli bir yapının gizli değerlerinin üretilmesine ve gizli değerde önemli bir kayba neden oldu(256 bit yerine 64 bit). Gizli değerin yanlış oluşturulmasının, değerin yeniden yaratılmasına sebep olduğunu ve ECC anahtarının bu şekilde elde edilmesine izin verdiğini doğruladık. Bu nedenle, tek bir imza çiftine ve imzalanmış verilere sahip olan saldırganlar, özel anahtarı etkin bir şekilde hesaplayarak söz konusu anahtar çiftini kullanan tüm işlevleri veya protokolleri kırabilir.”

Google, bu açıklama ile beraber “tek bir çift imza ya da imzalanmış veri” ele geçiren saldırganların, kullanıcının Chrome OS cihazına erişmeden kullanıcının güvenlik anahtarını taklit edebileceğini söylüyor.

chromebook 2

Google aynı açıklamanın devamında, “HTTPS bağlantılarından genellikle geçileceğinden, güvenlik açığı bulunan imzaların yaygın bir şekilde açığa çıkmasını beklemiyoruz. Ancak buna rağmen çift imzaların hiçbir yerde kaydedilmediğini varsaymak yetersiz olacaktır.” dedi. 

H1 yongasında bulunan bu güvenlik açığı ile üçüncü taraflar imzaları elde etmiş olsa bile klasik iki faktörlü kimlik doğrulamanın sadece ikinci kısmını aşabiliyorlar. Birinci faktörü aşmak için hala kullanıcının şifresinin bilinmesi gerekiyor.

Google, Chromebook kullanıcılarının güvenlik açığından tamamen kurtulması için bazı adımlar yayınladı. Google’ın yayınladığı adımlar şöyle: 

  1. H1 yongası için bir düzeltme almak üzere cihazı Chrome OS 75 veya sonraki sürümüne güncelleyin. 0.31 ve daha önceki bir sürümdeki H1 ürün yazılımı sürümleri bu güvenlik açığını içerir. 0.3.15 ve sonraki sürümler bu açık için savunma içeriyor. 
  2. Chrome OS yerleşik güvenlik anahtarı özelliği ile oluşturulan bir güvenlik anahtarı ile kaydettiğiniz internet sitelerinin listesini çıkarın.
  3. Tüm bu sitelerden Chrome OS yerleşik güvenlik anahtarı kaydını kaldırın. Kayıtlı güvenlik anahtarını “hesap ayarları” ya da “güvenlik ayarları” kısmından kaldırabilirsiniz. 
  4. Hesabınıza şüpheli bir giriş olup olmadığını anlamak için hesabınıza yapılan son girişleri inceleyin. 
  5.  Eğer “Dahil güvenlik anahtarı sıfırlama gerektiriyor” bildiri alırsanız “sıfırlama” seçeneğini tıklayın.

    chromebook 3

Güvenlik açığından etkilenen Chromebook modelleri

Google, güvenlik açığından sadece H1 yongası bulunan Chromebook’ların etkilendiğini açıkladı. Chromebook’unuzda H1 çipi bulunmasına rağmen “yerleşik güvenlik anahtarı”nı kullanmadıysanız tehditten etkinlenmezsiniz. 

H1 yongası nedeniyle güvenlik açığından etkilenen Chromebook modellerinin listesi şöyle: 

  • Acer Chromebook Spin 13 (CP713-1WN)
  • Acer Chromebook 13  (CB713-1W)
  • HP Chromebook 11 G6 EE
  • Acer Chromebook 315
  • ASUS Chromebook Flip C214
  • ASUS Chromebook C204
  • Acer Chromebook 11 (C732)
  • ASUS chromebook C403
  • ASUS Chromebook C223
  • ASUS Chromebook C523
  • HP Chromebook 11A G6 EE
  • ASUS Chromebook C213NA/C213SA
  • HP Chromebook 14 / HP Chromebook 14 G5
  • CTL chromebook NL7T-360
  • CTL chromebook NL7
  • CTL Chromebook NL7 LTE
  • Acer Chromebook 15 CB315-1H / 1HT
  • Acer Chromebook Spin 511
  • Acer Chromebook 311
  • ASUS Chromebook Flip C101PA
  • Acer Chromebook Spin 15 CP315-1H / 1HT
  • HP Chromebook 14 db0000-db0999
  • Acer Chromebook Tab 10 (D651N / D650N)
  • CTL Chromebook Tab Tx1
  • ASUS Chromebook Tablet CT100
  • Acer Chromebook Spin 11 (R751T / CP511)
  • Acer Chromebook 514
  • Google Pixelbook
  • Dell Chromebook 3100
  • Dell Chromebook 3100 2in1
  • Chromebook Spin 311 (R721T)
  • Chromebook 311 (C721)
  • HP Chromebox G2
  • Acer Chromebook Spin 11 (CP311-1H & CP311-1HN)
  • Lenovo 14e Chromebook
  • HP Chromebook x360 11 G2 EE
  • HP Chromebook 11 G7 EE
  • Dell Chromebook 11 2-in-1 5190
  • Dell Chromebook 11 5190
  • Samsung Chromebook Plus (LTE)
  • Samsung Chromebook Plus (V2)
  • Pixel Slate
  • Dell Chromebook 3400
  • Yoga C630 Chromebook
  • Lenovo 300e/500e Chromebook 2nd Gen
Kaynak : https://www.zdnet.com/article/google-discloses-vulnerability-in-chrome-os-built-in-security-key-feature/
9
3
1
0
0
Emoji İle Tepki Ver
9
3
1
0
0