Google, Chrome OS ’ta Kritik Bir Güvenlik Açığı Olduğunu Açıkladı

Google, Chrome OS ’nin “yerleşik güvenlik anahtarı” özelliğinde geçtiğimiz aylarda bir güvenlik açığı tespit etti.

Google, Chrome OS ’ta Kritik Bir Güvenlik Açığı Olduğunu Açıkladı

Google, Chrome OS ’nin “yerleşik güvenlik anahtarı” özelliğinde geçtiğimiz aylarda bir güvenlik açığı tespit etti.

12 Eylül 2019 Perşembe 17:05
Google, Chrome OS ’ta Kritik Bir Güvenlik Açığı Olduğunu Açıkladı

Google, Chrome OS ’nin “yerleşik güvenlik anahtarı” özelliğinde geçtiğimiz aylarda bir güvenlik açığı tespit etti. Chrome OS ’nin yerleşik güvenlik anahtarı, kullanıcıların bir internet sitesine üye olurken ya da giriş yaparken kullanılabiliyor. Yerleşik güvenlik anahtarı ile beraber kullanıcılar bilgisayarın power tuşuna basarak klasik bir usb ya da bluetooth cihazını bağlar gibi sitelere üye olabiliyor ya da siteye kendi bilgileri ile girebiliyor. 

Google, H1 yonga ürününü kullanan Chromebook ’larda yerleşik güvenlik anahtarı kullanımında bir güvenlik açığını buldu. Google ’ın mühendisleri, H1 çipinin bazı şifreleme imzalarının uzunluğunu yanlış şekilde kestiğini ve şifrelerin kırılmasını kolaylaştırdığını keşfetti. Google, konuyla ilgili şu açıklamayı yaptı: 

chromebook

“H1 güvenlik yongasının yazılımında ECDSA imzası oluşturma ile ilgili bir güvenlik açığı olduğunu keşfettik. Yazılım kodu, kritik bir gizli değeri kriptografik donanım bloğuna geçirirken uyumsuz transfer talimatlarını kullandı, bu da belirli bir yapının gizli değerlerinin üretilmesine ve gizli değerde önemli bir kayba neden oldu(256 bit yerine 64 bit). Gizli değerin yanlış oluşturulmasının, değerin yeniden yaratılmasına sebep olduğunu ve ECC anahtarının bu şekilde elde edilmesine izin verdiğini doğruladık. Bu nedenle, tek bir imza çiftine ve imzalanmış verilere sahip olan saldırganlar, özel anahtarı etkin bir şekilde hesaplayarak söz konusu anahtar çiftini kullanan tüm işlevleri veya protokolleri kırabilir.”

Google, bu açıklama ile beraber “tek bir çift imza ya da imzalanmış veri” ele geçiren saldırganların, kullanıcının Chrome OS cihazına erişmeden kullanıcının güvenlik anahtarını taklit edebileceğini söylüyor.

chromebook 2

Google aynı açıklamanın devamında, “HTTPS bağlantılarından genellikle geçileceğinden, güvenlik açığı bulunan imzaların yaygın bir şekilde açığa çıkmasını beklemiyoruz. Ancak buna rağmen çift imzaların hiçbir yerde kaydedilmediğini varsaymak yetersiz olacaktır.” dedi. 

H1 yongasında bulunan bu güvenlik açığı ile üçüncü taraflar imzaları elde etmiş olsa bile klasik iki faktörlü kimlik doğrulamanın sadece ikinci kısmını aşabiliyorlar. Birinci faktörü aşmak için hala kullanıcının şifresinin bilinmesi gerekiyor.

Google, Chromebook kullanıcılarının güvenlik açığından tamamen kurtulması için bazı adımlar yayınladı. Google ’ın yayınladığı adımlar şöyle: 

H1 yongası için bir düzeltme almak üzere cihazı Chrome OS 75 veya sonraki sürümüne güncelleyin. 0.31 ve daha önceki bir sürümdeki H1 ürün yazılımı sürümleri bu güvenlik açığını içerir. 0.3.15 ve sonraki sürümler bu açık için savunma içeriyor.  Chrome OS yerleşik güvenlik anahtarı özelliği ile oluşturulan bir güvenlik anahtarı ile kaydettiğiniz internet sitelerinin listesini çıkarın. Tüm bu sitelerden Chrome OS yerleşik güvenlik anahtarı kaydını kaldırın. Kayıtlı güvenlik anahtarını “hesap ayarları” ya da “güvenlik ayarları” kısmından kaldırabilirsiniz.  Hesabınıza şüpheli bir giriş olup olmadığını anlamak için hesabınıza yapılan son girişleri inceleyin.   Eğer “Dahil güvenlik anahtarı sıfırlama gerektiriyor” bildiri alırsanız “sıfırlama” seçeneğini tıklayın.

chromebook 3

Güvenlik açığından etkilenen Chromebook modelleri

Google, güvenlik açığından sadece H1 yongası bulunan Chromebook ’ların etkilendiğini açıkladı. Chromebook ’unuzda H1 çipi bulunmasına rağmen “yerleşik güvenlik anahtarı”nı kullanmadıysanız tehditten etkinlenmezsiniz. 

H1 yongası nedeniyle güvenlik açığından etkilenen Chromebook modellerinin listesi şöyle: 

Yorumlar
Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.

Sponsor Bağlantı

İletişim adreslerimiz: ihbar@yeniyuzyil.news ve info@yeniyuzyil.news