Chrome OS’ta Kritik Bir Güvenlik Açığı Olduğu Açıklandı

Google, Chrome OS’nin “yerleşik güvenlik anahtarı” özelliğinde geçtiğimiz aylarda bir güvenlik açığı tespit etti. Chrome OS’nin yerleşik güvenlik anahtarı, kullanıcıların bir internet sitesine üye olurken ya da giriş yaparken kullanılabiliyor. Yerleşik güvenlik anahtarı ile birlikte kullanıcılar bilgisayarın power tuşuna basarak klasik bir usb ya da bluetooth aygıtını bağlar üzere sitelere üye olabiliyor ya da siteye kendi bilgileri ile girebiliyor. 

Google, H1 yonga eserini kullanan Chromebook’larda yerleşik güvenlik anahtarı kullanımında bir güvenlik açığını buldu. Google’ın mühendisleri, H1 çipinin birtakım şifreleme imzalarının uzunluğunu yanlış biçimde kestiğini ve şifrelerin kırılmasını kolaylaştırdığını keşfetti. Google, hususla ilgili şu açıklamayı yaptı: 

“H1 güvenlik yongasının yazılımında ECDSA imzası oluşturma ile ilgili bir güvenlik açığı olduğunu keşfettik. Yazılım kodu, kritik bir kapalı bedeli kriptografik donanım bloğuna geçirirken uyumsuz transfer talimatlarını kullandı, bu da belli bir yapının bâtın bedellerinin üretilmesine ve zımnî pahada kıymetli bir kayba neden oldu(256 bit yerine 64 bit). Bilinmeyen pahanın yanlış oluşturulmasının, pahanın yine yaratılmasına sebep olduğunu ve ECC anahtarının bu biçimde elde edilmesine izin verdiğini doğruladık. Bu nedenle, tek bir imza çiftine ve imzalanmış datalara sahip olan saldırganlar, özel anahtarı aktif bir biçimde hesaplayarak kelam konusu anahtar çiftini kullanan tüm fonksiyonları yahut protokolleri kırabilir.”

Google, bu açıklama ile birlikte “tek bir çift imza ya da imzalanmış veri” ele geçiren saldırganların, kullanıcının Chrome OS aygıtına erişmeden kullanıcının güvenlik anahtarını taklit edebileceğini söylüyor.

Google birebir açıklamanın devamında, “HTTPS irtibatlarından çoklukla geçileceğinden, güvenlik açığı bulunan imzaların yaygın bir biçimde açığa çıkmasını beklemiyoruz. Lakin buna karşın çift imzaların hiçbir yerde kaydedilmediğini varsaymak yetersiz olacaktır.” dedi. 

H1 yongasında bulunan bu güvenlik açığı ile üçüncü taraflar imzaları elde etmiş olsa bile klasik iki faktörlü kimlik doğrulamanın yalnızca ikinci kısmını aşabiliyorlar. Birinci faktörü aşmak için hala kullanıcının şifresinin bilinmesi gerekiyor.

Google, Chromebook kullanıcılarının güvenlik açığından büsbütün kurtulması için kimi adımlar yayınladı. Google’ın yayınladığı adımlar şöyle: 

1. H1 yongası için bir düzeltme almak üzere cihazı Chrome OS 75 yahut sonraki sürümüne güncelleyin. 0.31 ve daha evvelki bir sürümdeki H1 eser yazılımı sürümleri bu güvenlik açığını içerir. 0.3.15 ve sonraki sürümler bu açık için savunma içeriyor. 
2. Chrome OS yerleşik güvenlik anahtarı özelliği ile oluşturulan bir güvenlik anahtarı ile kaydettiğiniz internet sitelerinin listesini çıkarın.
3. Tüm bu sitelerden Chrome OS yerleşik güvenlik anahtarı kaydını kaldırın. Kayıtlı güvenlik anahtarını “hesap ayarları” ya da “güvenlik ayarları” kısmından kaldırabilirsiniz. 
4. Hesabınıza kuşkulu bir giriş olup olmadığını anlamak için hesabınıza yapılan son girişleri inceleyin. 
5.  Eğer “Dahil güvenlik anahtarı sıfırlama gerektiriyor” bildiri alırsanız “sıfırlama” seçeneğini tıklayın.

   

Güvenlik açığından etkilenen Chromebook modelleri

Google, güvenlik açığından yalnızca H1 yongası bulunan Chromebook’ların etkilendiğini açıkladı. Chromebook’unuzda H1 çipi bulunmasına karşın “yerleşik güvenlik anahtarı”nı kullanmadıysanız tehditten etkinlenmezsiniz. 

H1 yongası nedeniyle güvenlik açığından etkilenen Chromebook modellerinin listesi şöyle: 

• Acer Chromebook Spin 13 (CP713-1WN)
• Acer Chromebook 13  (CB713-1W)
• HP Chromebook 11 G6 EE
• Acer Chromebook 315
• ASUS Chromebook Flip C214
• ASUS Chromebook C204
• Acer Chromebook 11 (C732)
• ASUS chromebook C403
• ASUS Chromebook C223
• ASUS Chromebook C523
• HP Chromebook 11A G6 EE
• ASUS Chromebook C213NA/C213SA
• HP Chromebook 14 / HP Chromebook 14 G5
• CTL chromebook NL7T-360
• CTL chromebook NL7
• CTL Chromebook NL7 LTE
• Acer Chromebook 15 CB315-1H / 1HT
• Acer Chromebook Spin 511
• Acer Chromebook 311
• ASUS Chromebook Flip C101PA
• Acer Chromebook Spin 15 CP315-1H / 1HT
• HP Chromebook 14 db0000-db0999
• Acer Chromebook Tab 10 (D651N / D650N)
• CTL Chromebook Tab Tx1
• ASUS Chromebook Tablet CT100
• Acer Chromebook Spin 11 (R751T / CP511)
• Acer Chromebook 514
• Google Pixelbook
• Dell Chromebook 3100
• Dell Chromebook 3100 2in1
• Chromebook Spin 311 (R721T)
• Chromebook 311 (C721)
• HP Chromebox G2
• Acer Chromebook Spin 11 (CP311-1H & CP311-1HN)
• Lenovo 14e Chromebook
• HP Chromebook x360 11 G2 EE
• HP Chromebook 11 G7 EE
• Dell Chromebook 11 2-in-1 5190
• Dell Chromebook 11 5190
• Samsung Chromebook Plus (LTE)
• Samsung Chromebook Plus (V2)
• Pixel Slate
• Dell Chromebook 3400
• Yoga C630 Chromebook
• Lenovo 300e/500e Chromebook 2nd Gen