Project Zero — это команда Google, которая отвечает за обнаружение недостатков безопасности в различных продуктах, а затем в частном порядке сообщает о них соответствующему поставщику. Дается 90-дневный крайний срок для исправления проблемы до того, как она станет общедоступной. Google Project Zero публично сообщил об ошибке в Chrome OS после того, как не смогла исправить ее в течение 90 дней.

Специалисты по безопасности Google сообщили, что USBGuard встроенный в Chrome OS имеет черный список, который не аутентифицирует USB-устройства с определенными дескрипторами интерфейса класса на заблокированном экране. Пока USB-устройство заблокировано на экране блокировки, другие устройства могут эмулировать запоминающее устройство, модифицировать ядро и проходить таким образом аутентификацию. Данная уязвимость связана с тем, что класс USB не имеет значения для ядра, поэтому допускается модификация аутентифицированного устройства. 

Пока неизвестно, когда будет выпущено исправление, но важно отметить, что это локальная уязвимость, которая требует от злоумышленника вручную вставить USB-накопитель, чтобы взломать устройство и его ядро. Уязвимость нельзя использовать удаленно, но она действует как вектор атаки для других эксплойтов, даже если пользователь оставляет заблокированный компьютер с Chrome OS без присмотра.