Chrome OS blokkeert binnenkort alle pogingen om via een USB-apparaat toegang te krijgen tot een apparaat, of om instellingen te veranderen, als het scherm vergrendeld is. Het is een van de nieuwe stappen die Google neemt om Chromebooks te beschermen tegen bepaalde soorten fysieke toegangsaanvallen.
De nieuwe functie draagt de naam USBGuard en blokkeert alle toegang tot de USB-ingang zodra het scherm van een apparaat geblokkeerd is. De functie is volgens een Chrome OS broncode-commit die gespot werd door de site Chrome Story, momenteel beschikbaar binnen Chrome OS Canary builds. De verwachting is dat deze binnenkort ook naar een stabiele versie van Chrome OS komt. Zodra dat gebeurt, kunnen gebruikers de functie inschakelen door deze Chrome OS-flag aan te passen: chrome://flags/#enable-usbguard.
Uitschakelen USB-ingang
De maatregel werkt vrij eenvoudig. Het besturingssysteem kan simpelweg geen code inlezen of uitvoeren als een USB-scherm aan het apparaat gekoppeld wordt, en het scherm op dat moment vergrendeld is. Op die manier zijn Chromebooks weer op een aanvullende wijze beschermd tegen aanvallen.
Rubber Ducky-achtige aanvallen zijn daarmee dan ook niet langer mogelijk. Dat zijn aanvallen die uitgevoerd worden met een USB-apparaat dat, eenmaal in een computer geplugd, de werking van een toetsenbord nabootst. Vervolgens worden allerlei commando’s uitgevoerd die de werking van de apparaten negatief beïnvloeden.
Varianten daarop, waaronder BadUSB, PoisonTab, USBdriveby en USBHarpoon bereiken soortgelijke effecten en staan op het internet. Iedereen kan daardoor een eigen USB-gebaseerde tool bouwen die malware-aanvallen mogelijk maken. Eenieder met kwade wil kan vervolgens toegang krijgen tot het apparaat van een persoon die even niet aanwezig is.
De meeste aanvallen kunnen overigens ook zonder dit soort extra maatregelen vanuit Google voorkomen worden door de USB-ingang uit te schakelen. Dat is in basis ook wat Google doet, door Chromebook-eigenaren de optie te geven de USB-ingang in zijn geheel uit te schakelen terwijl ze weg zijn. Apple deed iets soortgelijks ook al binnen iOS.
6 uur geleden
