Стоит ли бояться клавиатурных шпионов в эпоху Chromebook?

Да. Всегда предполагайте, что ваша активность, включая нажатия клавиш, может контролироваться / записываться в любое время, когда вы используете компьютер, который физически не контролируется.

Конечно, Chrome OS может сделать невозможным установку программного кейлоггера, но «сложно» или даже «чрезвычайно сложно» - это не то же самое, что «невозможно». Кроме того, у вас нет возможности узнать, что ОС в этом кибер-кафе на самом деле является Chrome OS, в отличие от чего-то, что было тщательно разработано так, чтобы выглядеть как Chrome OS. Или, в качестве альтернативы, это может быть полностью легальная ОС Chrome, но работающая под управлением какого-то гипервизора, который сам регистрирует нажатия клавиш.

Что касается аппаратных клавиатурных шпионов: их совсем не сложно установить. Если клавиатура физически не встроена в компьютер (т. Е. Не в клавиатуру ноутбука), это так же просто, как подключить потенциально очень маленькое устройство (очевидно, эти вещи теперь даже с поддержкой Wi-Fi!) Между шнуром клавиатуры и портом на компьютере. А вы знаете этих маленьких круглых штучек, которых вы часто видите, например, на мониторных шнурах? Теоретически (хотя на практике я не знаю такого устройства) кейлоггер можно было бы спроектировать так, чтобы он был присоединен к кабелю клавиатуры почти таким же образом, считывая ввод с клавиатуры через магнитное поле, которое электрические сигналы по своей природе генерируют, фактически не устанавливая физического контакта с ним. любые провода. (Я делаю знать о «вампирских» вложениях для аппаратных сетевых анализаторов, которые функционируют таким образом.) Кроме того, на клавиатурах могут быть встроенные клавиатурные шпионы, требующие, чтобы кто-то просто поменял обычную клавиатуру на идентичный внешний вид со встроенным клавиатурным шпионом.

Немного увеличивая сложность, на обычной клавиатуре почти всегда есть один чип контроллера; этот чип может быть относительно легко заменен, или другой чип добавлен к тем же разъемам, чтобы превратить обычную клавиатуру во встроенную кейлоггер.

Клавиатуры для ноутбуков гораздо сложнее получить аппаратные клавиатурные шпионы, но, опять же, «гораздо сложнее» не то же самое, что «невозможно».

В настоящее время многие ОС Chrome используются на основе компиляции одного человека (hexxeh) (Flow, Lime, Vanilla и т. Д.), Похоже, никто не участвует и не сотрудничает с ним. Итак, насколько вы знаете, он мог вставить кейлоггер в свою сборку и смеяться всю дорогу до банка - как вы можете сказать!? (Кто-нибудь на самом деле исследовал / контролировал его сборку!?)

Если мы просто говорим о ChromeOS, который вы получаете при покупке нового Chromebook, то я бы сказал, что вам нужно меньше бояться, чем с другим видом вычислительного устройства.

Как говорит @Kromey, все может быть взломано, и на стандартных ПК есть много потенциальных уязвимостей. Chromebook имеет встроенную клавиатуру и дисплей, что обеспечивает большую безопасность периферийных устройств. Вдобавок ко всему, ОС построена с рядом функций безопасности, таких как пространство имен процессов, хеширование блоков хранения и подпись ядра, чтобы уменьшить угрозу вмешательства в базовую ОС (см. Https://www.youtube.com/watch). ? v = 1u3mTNj3TJ0 ).

Это делает ваши веб-страницы, расширения и веб-приложения Chrome самым большим риском. Если кейлоггер внедряется в веб-страницу через веб-сервер, то с этим ничего не поделаешь. И расширения, и веб-приложения требуют, чтобы пользователи выбирали их установку; если вы решите не делать этого, то вы в большей безопасности. Содержание этих расширений может быть просмотрено любой заинтересованной стороной, все это с открытым исходным кодом, если вы знаете, где искать. И, наконец, любое расширение или веб-приложение из интернет-магазина Chrome должно указать необходимые разрешения в своем файле манифеста, чтобы пользователи имели возможность узнать, что можно сделать с просматриваемыми веб-страницами.

В целом, я считаю, что на Chromebook установлена ​​самая безопасная потребительская ОС. Частично из-за нестандартного аппаратного обеспечения, а частично из-за ограниченной функциональности (и поверхности атаки) системы.