
Acer Chromebook | Foto: Google.com/chromebook
Acer Chromebook | Foto: Google.com/chromebook
Cyberthreat.id – Anda pengguna laptop Chromebook?
Google meminta Anda untuk segera memperbarui (update) perangkat karena terdapat kerentanan (vulnerability) kritis dalam fitur Chrome OS eksperimental yang menangani prosedur otentikasi dua langkah (2FA).
Kerentanan itu berdampak pada fitur Chrome OS yang dikenal sebagai "kunci keamanan bawaan” (built-in security key). Fitur ini memungkinkan pengguna menggunakan perangkat Chromebook yang mirip dengan kunci keamanan USB/NFC/Bluetooth berbasis perangkat keras.
Fitur tersebut dapat digunakan saat mendaftar atau masuk ke situs web. Pengguna dapat menekan tombol daya Chromebook, yang akan mengirim token kriptografi ke situs web.
“Mirip dengan bagaimana kunci perangkat keras klasik biasanya bekerja. Perbedaannya adalah pengguna menggunakan Chromebook sebagai bukti kepemilikan dan identitas, bukan kunci berbasis USB, NFC, atau Bluetooth,” demikian tulis ZDNet, Kamis (12 September 2019).
Awal tahun ini, teknisi Google menemukan kerentanan dalam firmware chip H1 yang digunakan untuk memproses bagian operasi kriptografi dari fitur "kunci keamanan bawaan".
Google menemukan bahwa firmware chip tersebut salah menangani beberapa operasi, dan secara tidak sengaja memotong panjang beberapa tanda tangan kriptografi, sehingga membuatnya lebih mudah rusak.
Efek buruknya adalah penyerang yang memperoleh "tanda tangan dan data yang ditandatangani" dapat memalsukan kunci keamanan pengguna tanpa harus memiliki akses ke perangkat Chrome OS pengguna.
"Kami tidak berharap tanda tangan rentan telah terekspos secara luas karena mereka biasanya akan melewati koneksi HTTPS," kata Google.
Namun, Google juga mengatakan, kejadian tersebut tidak perlu disikapi dengan kepanikan. Jika penyerang mendapatkan tanda tangan dan mendapatkan kunci pribadi untuk membuat tanda tangan lainnya, mereka hanya akan merusak langkah kedua dalam proses otentikasi dua langkah klasik.
Penyerang masih perlu tahu atau memiliki kata sandi pengguna untuk masuk ke akun. Namun demikian, Google menyarankan pengguna untuk mengambil langkah-langkah perbaikan seperti berikut ini:
Google mengatakan bahwa hanya versi Chromebook yang mendukung chip H1 dan fitur kunci keamanan bawaan yang terpengaruh. Namun, jika pengguna tidak pernah menggunakan fitur ini, mereka tidak terpengaruh.
Google merilis Chrome OS 75 pada akhir Juni dan baru mengetahui kerentananyang berdampak pada chip H1 pada awal Juli. “Satu-satunya kritik adalah bahwa perusahaan tidak secara luas mengiklankan masalah ini, hanya menerbitkan saran pada halaman penasihat keamanan (security advisories page) OS Chromium.
Pengguna dapat mengunjungi Chrome OS: chrome://version untuk melihat model/nama kode perangkat mereka dan membandingkannya daftar di bawah ini:
Share: