Chrome OS: Google Project Zero segnala vulnerabilità USB ad alto rischio

Il team Google Project Zero ha dato notizia di una vulnerabilità ad alto rischio sui dispositivi Chrome OS. Ancora ad oggi non ci sono notizie sul rilascio di una patch correttiva

Le problematiche di sicurezza si affacciano purtroppo anche nel settore dei dispositivi Chrome OS, la cui quota mercato è sicuramente marginale se confrontata con quella dei computer Windows ma che può tuttavia contare su interessanti prospettive di crescita. È infatti delle scorse ore la notizia della scoperta di una grave vulnerabilità che sta impattando il sistema operativo di Google, definita dagli stessi ricercatori come “ad alta gravità”, quasi a voler rimarcare la pericolosità della scoperta.

Chrome OS vulnerabilità
Resa pubblica una vulnerabilità su Chrome OS (AdobeStock)

A segnalare questa vulnerabilità è stato Project Zero, il team di Google specializzato nel ricevere privatamente eventuali magagne di sicurezza che colpiscono i vari prodotti dell’azienda. Per prassi adottata dal colosso di Mountain View, dopo la segnalazione al team specializzato, gli sviluppatori hanno 90 giorni di tempo per correggere la problematica, altrimenti tale vulnerabilità – che è finora rimasta privata e quindi senza il clamore mediatico della rete – viene resa pubblica.

Nel caso di specie, stiamo parlando di una vulnerabilità ad alto rischio su Chrome OS segnalata da Project Zero, e il fatto che tale notizia sia ormai diventata di dominio pubblico conferma che sono trascorsi infruttuosamente 90 giorni dalla segnalazione privata del team di Google senza una pronta risoluzione della problematica. Ma di cosa si tratta nello specifico?

Tutto nasce dal framework USBGuard, utilizzato dal sistema operativo di Google per la configurazione delle varie impostazioni. Sono state scoperte delle problematiche sul punto che riguardano la gestione dei dispositivi USB quando il dispositivo Chrome OS è bloccato. Per impostazione predefinita, infatti, un dispositivo USB non autenticato verrà bloccato sulla schermata di blocco. A causa di questa vulnerabilità, tali dispositivi potrebbero modificare il kernel e accedere quindi all’archiviazione del PC.

Vulnerabilità Chrome OS: si attende una patch risolutiva

Chrome OS vulnerabilità
La vulnerabilità Chrome OS non è stata ancora risolta (AdobeStock)

Perché non è stata corretta tale stortura? Come spiegato da NeoWin, questa vulnerabilità è stata segnalata privatamente al team di Chrome OS il 24 febbraio scorso, che non l’ha tuttavia considerata ad alto rischio e pertanto non ha provveduto a correggere il bug. Sono quindi trascorsi infruttuosamente 90 giorni e la notizia è diventata quindi di dominio pubblico.

Non sappiamo ad oggi quando verrà rilasciata una patch correttiva che permetterà quindi di risolvere il problema.