我想知道Chromebook是否可以通过恶意网站接收病毒。我最近听说它们可以抵抗任何类型的病毒，但是我不确定那是真的。有人知道Chromebook是否可以感染病毒吗？

Tl; dr-是（但不太可能）。

从https://en.wikipedia.org/wiki/Chrome_OS：

Chrome操作系统是Google基于Linux内核设计的操作系统，并使用Google Chrome Web浏览器作为其主要用户界面。因此，Chrome操作系统主要支持Web应用程序。

Google到处都是有关Linux和病毒的信息，您会发现它是低级的，但肯定不是闻所未闻的。

例如，Linux是否需要防病毒软件？说

关于Linux是否需要防病毒，存在很多争论。支持Linux的人指出，它作为多用户网络操作系统的传统意味着它是从头开始构建的，具有出色的恶意软件防御功能。其他人则认为，尽管某些操作系统对恶意软件的抵抗力更强，但根本没有像病毒抵抗这样的操作系统。第二组是正确的-Linux不会感染病毒

并且 我的UNIX或Linux计算机能否感染病毒？说

当前，对于UNIX或Linux来说，很少有病毒。但是，出于以下原因，必须进行病毒检查：

• 充当其他操作系统客户端工作站的服务器的UNIX或Linux计算机可以成为其他病毒类型（例如Windows宏病毒）的载体。
• UNIX和Linux计算机通常用作邮件服务器，并且可以在电子邮件到达桌面之前检查电子邮件中是否存在蠕虫和受感染的附件。
• 如果您的UNIX或Linux计算机正在运行PC模拟器（“软PC”），则在该模拟器下运行的应用程序容易受到病毒（尤其是宏病毒）的攻击。

所以，你在小的风险，但不是没有风险

推荐阅读：Chromebook操作方法：病毒，恶意软件和Chrome操作系统安全性

tl; dr

是的，请小心，不要安装任何扩展，如果要确保您了解他们所要求的权限。

_{^{注意：“计算机病毒”的专业定义是特定类型的恶意应用程序，“计算机病毒”的“常规”定义或多或少是任何恶意应用程序。阅读OP的帖子，我已经解释了他的问题是使用后一种含义的术语。}}

完全同意其他答案，它将从同一个地方开始，但要在此扩展一下：

Chrome操作系统是Google基于Linux内核设计的操作系统，并使用Google Chrome Web浏览器作为其主要用户界面。因此，Chrome操作系统主要支持Web应用程序。

资料来源：维基百科

Chrome：被动攻击

攻击说明：

1. 您打开一个网站
2. 突然你有病毒

可能性：即使使用Windows上的Chrome，这种情况也很少见，但是，ChromeOS上的Chrome运行在Linux上的事实意味着，攻击者针对Linux / ChromeOS发起攻击的“价值”要低得多。

Chrome：愚蠢的用户攻击（恶意软件+恶意网站）

攻击说明：

1. 您打开一个网站
2. 网站说服用户做一些愚蠢的事情
   • 示例：您打开一个流媒体站点（这种类型的站点未经版权拥有者的许可或未经法律许可就可以获取其内容），该站点会说服其用户安装缺少的编解码器，而他们实际上却安装了某些病毒。

可能性：由于Chrome不允许（默认情况下）运行实际的Linux应用程序，因此攻击面要小得多。此外，这些攻击大多数都再次针对Windows，因此您的.exe文件Downloads夹中最终得到了许多无用的文件。

但是，另一种有效且常见的跨平台攻击是安装恶意Chrome扩展程序。这些通常会请求允许

• 在所有站点上读取和更改您的数据

无论如何，这要求用户做一些愚蠢的事情，而忽略字面警告，即扩展名将有权查看和更改您看到的任何内容（包括例如您的网上银行界面）。

注意：这并不是从恶意网站开始的，因此它实际上并不属于OP标题中的问题，而是在正文中回答了该问题。

Android：被动攻击

攻击说明：

1. 您安装并打开恶意的Android应用
2. 突然您感染了病毒（病毒再次被定义为可以窃取密码或访问您的网上银行的东西）

可能性：Android应用程序上的沙箱做得非常好，据我所知，目前还没有人打破它。实际上，这意味着您可以避免这种情况的发生。当然，任何允许你做津贴的Android应用程序-就像与Chrome扩展-可以对你恶意玩家使用。

Linux攻击面

攻击说明：

1. （前传）您启用linux应用程序（默认情况下仅对高级用户禁用）
2. 您打开一些无辜的文件
   • 示例：一些libreoffice文档
3. 突然你有病毒

可能性：即使如果不启用Linux应用程序并打开自己都或多或少的危险或运行正常的Linux，Linux上的病毒是令人难以置信的罕见。有关此问题的讨论，请参见Mawq的答案。

Chrome操作系统具有一些功能，这些功能使病毒非常难以运行，难以提升root特权或无法在重新引导后存活（变得持久）。

• 该浏览器沙盒（PDF）限制什么程序可以做。除了基本的CPU和内存使用率之外，所有操作都被沙箱化。这意味着渲染器，javascript进程，PDF渲染器等已被沙盒化，除非明确允许这些调用，否则将不允许它们执行任意系统调用，写入任意文件，执行网络io等。

• 验证启动（固件启动）。Chrome操作系统启动分为多个阶段。第一阶段是引导闪存ROM，可通过主板上的硬件开关对其进行写保护（如果要刷新自己的引导加载程序，可以禁用此保护）。Chrome固件存储在两个可写的插槽中，但是签名已通过第一阶段验证，因此无法随意修改并仍然可以引导。内核和initramfs存储为GPT卷并已签名，因此它们也无法修改。实际的OS文件系统使用Verity对每个块进行签名，并且在加载块时会检查签名，因此也无法修改文件系统。

• 不断更新。Chrome操作系统使用A / B操作系统安装，因此可以定期自动发送安全更新，并轻松还原失败的更新。

因此，要使病毒在Chromebook上运行，就需要持久的威胁，这种威胁需要链结如下：

• 运行本机代码（病毒）的漏洞
• 沙箱转义，以访问文件系统
• 根漏洞，以修改OS文件
• 针对固件闪存或文件系统的“已验证启动”漏洞，以便在重新启动时加载修改后的操作系统文件
• 传播到其他Chromebook的某种方式（如果我们谈论的是传统病毒）

Google向发现这种持久妥协的任何人悬赏10万美元。仅存在几个实例（1，2，其中这已被要求保护的）。其中的第二个要求将五个CVE漏洞链接在一起。不容易。

Chromebook是否有漏洞？

是。

一个简单的搜索，在由“Chromebook的”关键字写这个答案，在麦特的CVE网站的时间，结果在9份漏洞报告，所有日期为2011年或2012年。具体而言，这些提到的“Acer AC700，三星Series 5，和Cr-48 ”。根据Eduard Kovacs在“安全周刊”上的文章：

一位使用在线绰号Gzob Qq的研究人员于9月18日告知Google，他发现了一系列漏洞，这些漏洞可能导致在Chrome OS（在Chromebox和Chromebook设备上运行的操作系统）上持久执行代码。

漏洞利用链包括V8 JavaScript引擎（CVE-2017-15401）中的越界内存访问漏洞，PageState（CVE-2017-15402）中的特权升级，network_diag组件（CVE- （2017-15403），以及crash_reporter（CVE-2017-15404）和cryptohomed（CVE-2017-15405）中的符号链接遍历问题。

因此，2017年还有另一套CVE漏洞利用。

攻击面：

请注意，这没有考虑到Google Store扩展中的漏洞。每增加一个扩展都可能增加攻击面。趋势科技的文章中提供了一个有趣的扩展示例，它侵犯了用户的隐私并将机器置于僵尸网络服务中：

该僵尸网络用于将广告和加密货币挖矿代码注入受害者将要访问的网站。我们用这个最古老的命令与控制（C＆C）域之一的名字来称呼这个特殊的僵尸网络Droidclub。

除了上述功能之外，Droidclub还滥用合法的会话重播库来侵犯用户的隐私。这些脚本被注入到用户访问的每个网站中。这些库旨在用于重播用户对网站的访问，以便网站所有者可以查看用户看到的内容以及他输入到计算机中的内容。

当然，物理访问设备是一个重要因素-硬件本身可能会受到影响。

请注意，根据PC World的文章，Chromebook的攻击面可能会增加，超出了目前的支持周期（目前为5年）。尽管该文章指出目前情况尚不明确，但显然Google确实打算提供安全更新：

但是，这个故事还有很多皱纹：鉴于安全性是“ Chrome OS的主要宗旨之一”，谷歌表示，它正在“与合作伙伴合作以更新我们的政策，以便我们能够扩展安全补丁和会在设备的停产日期之后更新。”

Google目前并未做出任何保证，但听起来公司似乎希望将更新（至少在安全方面）扩展到五年以上。听起来像宏cer和三星这样的设备制造商将为实现这一目标承担部分责任。

结论

简而言之，是的，您可以在Chrome操作系统上获得利用。正如Mawg的回答所述，Chrome操作系统使用Linux内核，因此Windows特定的漏洞不会影响Chrome操作系统。但是，如果您对Linux内核利用感兴趣，那并不会减少攻击面。