Chromebook 会通过恶意网站感染计算机病毒吗？

Question

我想知道 Chromebook 是否可以通过恶意网站接收病毒。我最近听说他们对任何类型的病毒都免疫，但我不确定这是真的。有人知道 Chromebook 是否会感染病毒吗？

Answer 1

Tl; dr - 是的（但不太可能）。

来自https://en.wikipedia.org/wiki/Chrome_OS：

Chrome OS 是谷歌设计的一种操作系统，它基于 Linux 内核，以谷歌 Chrome 网络浏览器为主要用户界面。因此，Chrome OS 主要支持 Web 应用程序。

谷歌搜索有关 Linux 和病毒的信息，你会发现它是低级的，但肯定不是闻所未闻。

例如，Linux 需要防病毒软件吗？说

关于 Linux 是否需要防病毒软件存在很多争论。Linux 的支持者表示，其作为多用户网络操作系统的传统意味着它是从头开始构建的，具有卓越的恶意软件防御能力。其他人的立场是，虽然某些操作系统可以更好地抵御恶意软件，但根本没有抗病毒操作系统这样的东西。第二组是正确的——Linux 并非不受病毒影响

和 我的UNIX或Linux计算机可能感染了病毒？说

目前已知的 UNIX 或 Linux 病毒很少。但是，出于以下原因，需要进行病毒检查：

• 充当其他操作系统客户端工作站服务器的 UNIX 或 Linux 计算机可能成为其他病毒类型（例如 Windows 宏病毒）的载体。
• UNIX 和 Linux 计算机通常用作邮件服务器，可以在电子邮件到达桌面之前检查蠕虫和受感染的附件。
• 如果您的 UNIX 或 Linux 计算机正在运行 PC 模拟器（“软 PC”），则在该模拟器下运行的应用程序很容易受到病毒的攻击，尤其是宏病毒。

所以，你在小的风险，但不是没有风险

推荐阅读：Chromebook 使用方法：病毒、恶意软件和 Chrome 操作系统安全

Answer 2

tl;博士

是的，请小心，不要安装任何扩展程序，如果确实如此，请确保您了解他们要求的权限。

_{^{注意：“计算机病毒”的专业定义是特定类型的恶意应用程序，“计算机病毒”的“正常”定义或多或少是任何恶意应用程序。阅读 OP 的帖子，我将他的问题解释为在后一种含义中使用该术语。}}

完全同意另一个答案，将从同一个地方开始，但稍微扩展一下：

Chrome OS 是谷歌设计的一种操作系统，它基于 Linux 内核，以谷歌 Chrome 网络浏览器为主要用户界面。因此，Chrome OS 主要支持 Web 应用程序。

资料来源：维基百科

Chrome：被动攻击

攻击说明：

1. 你打开一个网站
2. 突然中了病毒

可能性：即使在 Windows 上使用 Chrome，这些也非常罕见，但 ChromeOS 上的 Chrome 在 Linux 上运行的事实意味着攻击者对 Linux/ChromeOS 进行攻击的“价值”要低得多。

Chrome：愚蠢的用户攻击（恶意软件 + 恶意站点）

攻击说明：

1. 你打开一个网站
2. 网站说服用户做一些愚蠢的事情
   • 示例：您打开一个流媒体网站（未经版权所有者许可或合法权利获取其内容的类型），该网站说服其用户安装缺少的编解码器，而他们实际上安装了一些病毒。

可能性：由于 Chrome 不允许（默认情况下）运行实际的 Linux 应用程序，因此攻击面要小得多。此外，大多数攻击再次以 Windows 为目标，因此您的.exe文件Downloads夹中最终会出现一堆无用的文件。

但另一种确实有效且并不少见的跨平台攻击是安装恶意的 chrome 扩展。这些通常会要求获得许可

• 读取和更改所有站点上的数据

无论如何，这需要用户做一些愚蠢的事情并忽略扩展将有权查看和更改您看到的任何内容（包括例如您的网上银行界面）的字面警告。

注意：这不是从恶意站点开始的，因此它实际上并不属于标题中 OP 的问题，但确实回答了正文中的问题。

Android：被动攻击

攻击说明：

1. 您安装并打开恶意安卓应用
2. 突然间您感染了病毒（病毒再次被定义为可以窃取您的密码或访问您的网上银行的东西）

可能性：Android 应用程序上的沙盒做得非常好，据我所知，目前还没有人突破它。这实际上意味着您可以相当安全地避免这种情况发生。当然，任何允许你做津贴的Android应用程序-就像与Chrome扩展-可以对你恶意玩家使用。

Linux 攻击面

攻击说明：

1. （前传）您启用 linux 应用程序（默认情况下禁用，仅适用于高级用户）
2. 你打开一些看起来很无辜的文件
   • 示例：一些 libreoffice 文档
3. 突然中了病毒

可能性：即使如果不启用Linux应用程序并打开自己都或多或少的危险或运行正常的Linux，Linux上的病毒是令人难以置信的罕见。有关此问题的讨论，请参阅 Mawq 的回答。

Answer 3

Chrome OS 的某些功能使病毒很难运行、很难将特权提升为 root 或在重新启动后仍然存在（变得持久）。

• 该浏览器沙盒（PDF）限制什么程序可以做。除了基本的 CPU 和内存使用外，所有操作都被沙箱化。这意味着渲染器、javascript 进程、PDF 渲染器等被沙盒化，除非明确允许这些调用，否则不允许执行任意系统调用、写入任意文件、执行网络 io 等。

• 验证启动（固件启动）。Chrome 操作系统启动分几个阶段进行。第一阶段是引导闪存 ROM，它通过主板上的硬件开关防止写入（如果您想刷新自己的引导加载程序，可以禁用此保护）。Chrome 固件存储在两个可写槽中，但签名是由第一阶段验证的，因此不能随意修改仍然启动。内核和 initramfs 存储为 GPT 卷并已签名，因此它们也无法修改。实际的 OS 文件系统使用Verity对每个块进行签名，并且在加载块时检查签名，因此文件系统也无法修改。

• 不断更新。Chrome 操作系统使用 A/B 操作系统安装，因此可以定期自动发送安全更新，并轻松恢复失败的更新。

因此，对于在 Chromebook 上运行的病毒，它需要一个持续的妥协，链接如下：

• 运行本机代码（病毒）的漏洞利用
• 沙箱逃逸，访问文件系统
• 一个root漏洞，为了修改操作系统文件
• “验证启动”漏洞利用，针对固件闪存或文件系统，以便在重启时加载修改后的操作系统文件
• 以某种方式传播到其他 Chromebook（如果我们谈论的是传统病毒）

谷歌悬赏 10 万美元奖励任何揭露这种持续妥协的人。只有几个实例( 1 , 2 ) 已经声明了这一点。其中第二个需要将五个 CVE 漏洞链接在一起。不容易。