2min

Hackers van The Mercury Group hebben de exploit SH1MMER ontwikkeld waarmee Chromebooks kunnen worden ‘bevrijd’ van zakelijke beheerfunctionaliteit. Dit meldt The Register. Google werkt met zijn hardware-partners aan een oplossing hiervoor.

Concreet is SH1MMER een aangepaste Return Merchandise Authorization (RMA) shim. Een shim is door Google afgetekende software waarmee leveranciers van hardwarediensten Chromebooks kunnen diagnosticeren en repareren.

De specifieke software omvat de Chrome OS fabrieksbundel van onderdelen, met de fabrieks install shim, een release image, een test image, een vanuit de fabriek meegeleverde toolkit, een Hardware Identification (HWID)-bundel en misschien ook andere elementen. Deze laatste kunnen gemeenschappelijk of board-specifiek zijn.

Aanpassingen van beheerde Chromebooks

Met een aangepaste en gepatchte shim kunnen beheerde Chromebooks worden opgestart vanaf een daarvoor voorbereide recovery drive. Vervolgens kan de setup van het betreffende device worden aangepast via het SH1MMER recovery screen menu.

Volgens de hackers van de The Mercury Group is het daarom mogelijk zakelijk beheerde Chromebooks op te zetten als een persoonlijk device en daarmee eventuele zakelijke spyware en blokkade-extensies te verwijderen. Uiteindelijk kan de Chromebook dan in dev-mode worden gezet, iets wat normaal niet mogelijk is bij beheerde Chromebooks.

Downloads al beschikbaar

De benodigde aangepaste RMA-shim kan worden gedownload wanneer deze mogelijk online is gelekt of kan via een hacksessie worden verkregen. Via recovery media als USB-sticks of een SD-kaart, kan de shim dan naar de Chromebook worden gebracht. De hackers hebben inmiddels een lijst van betrouwbare shims uitgebracht, nadat was ontdekt dat enkele online shims ervoor zorgden dat Chromebooks werden ‘gebrickt’.

Google op de hoogte

Tegenover The Register geeft Google aan dat het van de exploit op de hoogste is en dat een aantal ChromeOS shims hierdoor zijn getroffen. Samen met de hardware-partners wordt inmiddels gewerkt aan een oplossing.

Inmiddels is ook bekendgemaakt hoe bedrijven en instellingen kunnen controleren of hun beheerde Chromebooks gekraakt zijn. Bedrijven moeten attent zijn op devices die niet recent zijn gesynchroniseerd en moeten de enrollment-permisies voor de meeste gebruikers uitschakelen.

Daarnaast worden zij geadviseerd downloads van de Chrome Recovery Utility-extensie te blokkeren, de toegang tot chrome://net-export blokkeren om het stelen van draadloze inloggevens tegen te gaan en de toegang te blokkeren tot websites die exploit tools als sh1mmer.me distribueren.

Luister ook eens naar onze podcast: Recent zijn we uitgebreid ingegaan op de opkomst van passkeys. Kunnen deze het wachtwoord doen vergeten? Luister via deze link.