Катастрофа в сигурността на Chromium: Google публикува работещ експлойт за уязвимост, нерешена от 29 месеца

Google публикува код на експлойт за уязвимост в своя браузър Chromium, за която е докладвано преди 29 месеца и която все още не е отстранена. Проблемът засяга милиони потребители на Chrome, Microsoft Edge и другите браузъри, базирани на Chromium – включително Brave, Opera, Vivaldi и Arc. Браузърите Firefox и Safari не са засегнати от уязвимостта.

Използването на експлойта използва Background Fetch API – механизмът за изтегляне на големи файлове във фонов режим. Чрез него нападателят стартира фонов процес (service-worker) на устройството на жертвата, който остава постоянно активен. Съединението се инициира от кода на злонамерения сайт и в зависимост от браузъра се възстановява и запазва дори след рестартиране на устройството.

На практика устройството става част от ограничен ботнет (мрежа от заразени устройства): то може да получава достъп до злонамерени сайтове, да действа като анонимен прокси сървър, да участва в DDoS атаки и да проследява дейността на потребителите. Експлойтът е в състояние да свърже хиляди, ако не и милиони устройства.

Лира Ребане, независим изследовател, който откри уязвимостта и поверително съобщи за нея на Google в края на 2022 г., заяви, че е сравнително лесно да се използва експлойтът, според нея, въпреки че мащабирането му ще изисква усилия. Двама разработчици на Chromium определиха проблема като сериозна уязвимост с ниво на критичност S1 – второто най-сериозно.

Уязвимостта остава неизвестна извън екипа на Chromium в продължение на 29 месеца. В сряда сутринта тя се появи в отворения тракер за грешки на проекта. Първоначално Ребейн си е помислила, че проблемът е отстранен, но е установила: не е пусната никаква кръпка. Google премахна публикацията, но тя, заедно с кода за експлойт, все още е достъпна в архивните сайтове. Компанията не е отговорила на запитването за причините и времето на отстраняване на проблема.

Според Ребейн дългите закъснения с пачове са често срещани, но този път срокът е бил рекорден. Тя го обяснява с факта, че уязвимостта не излиза извън обичайните граници на сигурността и не дава достъп до пощата или компютрите, което е довело до това служителите на Google да не са разбрали за проблема.

Експлойтът е труден за откриване и неопитният потребител вероятно ще го отпише като незначителна грешка. Според вътрешните логове функцията за фоново изтегляне се използва минимално в Chrome, средно около 17 файла на потребител на ден, което според разработчиците потвърждава, че няма мащабна експлоатация на уязвимостта. Ребейн се съмнява в експлоатация извън Chrome, но препоръчва на потребителите на браузъра Chromium да обръщат внимание на прозорците за изтегляне, които се появяват без причина.