Разработчики Google по ошибке выложили в открытый доступ код атаки на еще не исправленную проблему безопасности в движке Chromium. Под ударом оказались сотни миллионов пользователей Chrome, Microsoft Edge и других браузеров на этой базе.
- Уязвимость связана с механизмом фоновой загрузки файлов Browser Fetch и позволяет сайтам внедрять постоянный скрипт слежения.
- Атака превращает браузер жертвы в прокси-сервер для просмотра сайтов и участия в DDoS-атаках.
- Проблему обнаружили еще в конце 2022 года, но Google не выпустила патч за 29 месяцев.
- Firefox и Safari не подвержены уязвимости — они не поддерживают проблемный интерфейс.
Как работает атака и чем она опасна
Через вредоносный веб-ресурс злоумышленник запускает в браузере фоновый процесс (сервис-воркера), который использует интерфейс Browser Fetch — стандартный инструмент для скачивания больших видео и других объемных файлов. Эксплойт создает постоянное соединение для отслеживания действий пользователя, а также превращает устройство в прокси для посещения других сайтов или организации распределенных атак на отказ в обслуживании (DDoS).
В некоторых браузерах это соединение сохраняется или автоматически восстанавливается даже после перезагрузки машины. Фактически компьютер становится частью ограниченной ботнет-сети. Исследовательница Лира Ребейн, которая нашла брешь и сообщила о ней Google в конце 2022 года, заявила, что использовать опубликованный код «довольно просто». Правда, для создания крупной армии зараженных устройств потребуются дополнительные усилия.
Внутри системы Chromium проблеме присвоили уровень S1 — второй по критичности. Два разработчика признали ее серьезной.
Почему уязвимость не закрывают уже 29 месяцев
Запись об ошибке вместе с кодом эксплойта внезапно появилась в открытом трекере Chromium. Ребейн сначала решила, что патч наконец вышел, но выяснилось: исправления нет. Google быстро удалила публикацию, однако копии страницы и сам код атаки уже сохранились в архивных сервисах.
По словам исследовательницы, такая долгая задержка с исправлением необычна, но объяснима. Проблема не дает хакеру прямого доступа к электронной почте, файлам или системе в целом. Видимо, сотрудники Google до конца не понимали суть уязвимости и потому не расставили правильные приоритеты.
Внутренние логи Chrome показывают, что функция фоновой загрузки используется редко — в среднем около 17 завершенных файлов на пользователя в день. Один из разработчиков посчитал это доказательством отсутствия массовой эксплуатации. Ребейн сомневается, что проблема активно используется против браузеров, отличных от Chrome, но призывает владельцев Chromium-браузеров быть внимательными.
Мнение редакции Mr.Android
История выглядит показательной для крупной корпорации: 29 месяцев на исправление — это перебор даже для не самой очевидной дыры. Случайная публикация эксплойта добавляет ложку дегтя. Пользователям Chromium-браузеров (Chrome, Edge, Brave, Opera, Vivaldi, Arc) стоит насторожиться при появлении подозрительных окон загрузки без видимой причины. Firefox и Safari в безопасности. Ждем официального патча — хотя доверие к скорости реакции Google после такого падает.
