Google Project Zero là một trong những tổ chức bảo mật được đánh giá rất cao về mặt chuyên môn hiện nay. Những phát hiện của nhóm không chỉ có ý nghĩa quan trọng đối với chính sản phẩm Google, mà còn với cả các sản phẩm phần mềm, dịch vụ của nhà phát triển khác.
Mới đây, Google Project Zero đã tiết lộ thông tin chi tiết về một lỗ hổng USB được đánh giá với mức độ nghiêm trọng cao trong Chrome OS. Theo quy định của Google Project Zero, sau khi lỗ hổng bảo mật được phát hiện, các chuyên gia của nhóm sẽ chủ động liên hệ với đơn vị sở hữu phần mềm để cung cấp thông tin chi tiết về lỗ hổng. Nhà phát triển sẽ có 90 ngày để khắc phục vấn đề trước khi Google công khai lỗ hổng đó. Tùy thuộc vào mức độ phức tạp của yêu cầu khắc phục, đôi khi Google cũng sẽ nới lỏng mốc thời gian cần thiết để nhà phát triển vá lỗi.
Tuy nhiên, đã hơn 3 tháng kể từ thời điểm đội ngũ Chrome OS được thông báo về lỗ hổng, họ vẫn chưa thể đưa ra bản vá khắc phục. Đây là lý do tại sao phía Google Project Zero quyết định công khai thông tin về lỗ hổng, theo đúng nguyên tắc đã đề ra.
Vấn đề được đề cập liên quan đến cách Chrome OS xử lý kết nối USB khi thiết bị bị khóa. Về cơ bản, Chrome OS sử dụng một công nghệ gọi là USBGuard để định cấu hình danh sách cho phép và chặn truy cập đối với thiết bị USB kết nối vào hệ thống. Tuy nhiên, các cấu hình không chính xác của framework này có thể dẫn đến việc một thiết bị USB không được xác thực chính xác có quyền truy cập vào kernel (hạt nhân) và bộ nhớ của PC.
Theo mô tả từ Google Project Zero, USBGuard trong Chrome OS sở hữu một danh sách chặn không xác thực thiết bị USB với bộ mô tả giao diện lớp cụ thể trên màn hình bị khóa. Tuy nhiên, sau khi quy trình xác nhận diễn ra, tất cả các giao diện khác đều được cấp phép.
Điều này có nghĩa là mặc dù thiết bị USB chưa được xác thực sẽ bị chặn chính xác trên màn hình khóa, các thiết bị khác có thể mô phỏng thiết bị lưu trữ thứ cấp, sửa đổi kernel để không hiển thị dưới dạng thiết bị USB và qua đó được xác thực trót lọt. Nguyên nhân là do lớp USB không quan trọng đối với hạt nhân, nên cũng sẽ cho phép thực hiện sửa đổi từ một thiết bị dường như đã được xác thực. Nhìn chung, điều này có thể cho phép kẻ tấn công “lách luật”, xâm phạm vào hệ thống mục tiêu qua kết nối USB giả mạo.
Vấn đề này đã được Google Project Zero gắn cờ là một lỗ hổng có mức độ nghiêm trọng cao, và báo cáo riêng cho nhóm Chrome OS vào ngày 24 tháng 2. Tuy nhiên, sau khi xem xét lỗ hổng, nhóm Chrome OS đã chỉ định đây chỉ là một lỗ hổng có mức độ nghiêm trọng thấp. Đến ngày 11 tháng 5, nhóm đã cung cấp một bản cập nhật tiến trình nhưng vì họ không thể sửa lỗi trong 90 ngày (như đã quy định) nên vấn đề vẫn được Project Zero tiết lộ công khai vào ngày 24 tháng 5.
Chưa rõ khi nào bản vá triệt để sẽ được tung ra. Về cơ bản, đây là một lỗ hổng cục bộ, yêu cầu kẻ tấn công cắm USB theo cách thủ công để giả mạo thiết bị và kernel của nó. Hacker sẽ không thể khai thác lỗ hổng từ xa. Tuy nhiên, nó có thể hoạt động như một vectơ tấn công cho các hoạt động khai thác khác nếu bạn để PC chạy Chrome OS của mình ở một vị trí nào đó không được giám sát, ngay cả khi thiết bị đang ở trạng thái khóa.