Google Project Zero revela vulnerabilidade grave sobre o USB do Chrome OS
A equipa do Project Zero da Google revelou ter descoberto uma grave vulnerabilidade sobre o Chrome OS, que afeta as ligações USB feitas pelo sistema e pode deixar o mesmo aberto a possíveis ataques.
O Chrome OS usa uma funcionalidade conhecida como “USBGuard”, que permite criar uma lista de permissões ou bloqueio para dispositivos USB que podem ser ligados ao sistema. No entanto, a Project Zero revelou ter descoberto uma falha sobre a implementação deste sistema, sendo que, sobre certas condições, é possível permitir dispositivos USB não autenticados a terem acesso ao kernel e armazenamento do PC.
Se explorada, a falha pode permitir que atacantes usem as entradas USB do sistema para obter acesso ao kernel do sistema, com a capacidade de enviar comandos para o mesmo, ou até de obter acesso ao armazenamento de ficheiros do PC até quando este sistema se encontra bloqueado.
A falha foi inicialmente reportada à equipa de desenvolvimento do Chrome OS a 24 de Fevereiro de 2021, mas nos 90 dias posteriores a mesma ainda não tinha sido corrigida, sendo que pelos prazos regulares, a Project Zero revelou publicamente a falha.
Até ao momento ainda se desconhece quando a equipa do Chrome OS vai disponibilizar a correção para esta falha.