Sprawę nagłośnił dziennikarz bezpieczeństwa Dan Goodin z Ars Technica. Podatność została odkryta przez niezależną badaczkę Lyrę Rebane i zgłoszona firmie Google pod koniec 2022 roku. Według informacji ujawnionych w korespondencji z zespołem Chromium, luka została sklasyfikowana jako problem bezpieczeństwa kategorii S1, czyli drugiej najwyższej w wewnętrznej skali ważności projektu.
Błąd znany od 29 miesięcy
Przez ponad 29 miesięcy szczegóły błędu pozostawały niepubliczne. Sytuacja zmieniła się 20 maja, gdy informacje o luce wraz z kodem proof-of-concept zostały opublikowane w systemie zgłoszeń Chromium. Rebane początkowo założyła, że oznacza to wdrożenie poprawki. Szybko okazało się jednak, że podatność nadal nie została usunięta. Google usunęło później wpis, ale jego kopie pozostały dostępne w archiwach internetowych.
Źródłem zagrożenia jest Background Fetch API, czyli mechanizm pozwalający przeglądarkom pobierać duże pliki w tle, nawet po zamknięciu strony internetowej. Według opisu badaczki odpowiednio przygotowana witryna może uruchomić trwały proces Service Worker, który utrzymuje aktywne połączenie przez bardzo długi czas.
W praktyce atakujący może wykorzystać takie połączenie do wykonywania działań dostępnych z poziomu przeglądarki – między innymi do anonimowego pośredniczenia w ruchu sieciowym, odwiedzania stron internetowych, przeprowadzania rozproszonych ataków odmowy usługi (DDoS) czy monitorowania aktywności użytkownika. Według Rebane nie daje to bezpośredniego dostępu do systemu operacyjnego ani prywatnych danych użytkownika, ale może zamienić urządzenie w element botnetu – potencjalnie obejmującego tysiące, a nawet miliony urządzeń. Co istotne, w zależności od przeglądarki połączenie może się odnawiać lub utrzymywać nawet po restarcie urządzenia.
Chrome, Edge, Brave i Opera na liście zagrożonych
Badaczka potwierdziła podatność w kilku popularnych przeglądarkach wykorzystujących silnik Chromium. Oprócz Google Chrome problem ma dotyczyć także Microsoft Edge, Brave, Opery, Vivaldi oraz Arc. Firefox i Safari pozostają odporne, ponieważ nie implementują funkcji Background Fetch API.
Według opisu działania exploita wykrycie ataku może być trudne. W niektórych przypadkach użytkownik może zauważyć niespodziewane pojawienie się panelu pobierania plików, jednak objaw ten nie zawsze występuje. Szczególnie w przypadku Edge’a działanie podatności może pozostać praktycznie niewidoczne.
Nie ma dowodów na aktywne wykorzystanie
Na obecnym etapie nie ma informacji wskazujących, że luka jest wykorzystywana na szeroką skalę. Jeden z deweloperów Chromium miał wskazać w dyskusji dotyczącej błędu, że wykorzystanie funkcji Background Fetch w przeglądarce Chrome jest bardzo ograniczone, co sugeruje brak masowych nadużyć. Sama Rebane również stwierdziła, że nie są jej znane przypadki aktywnego wykorzystywania podatności w innych przeglądarkach.
W rozmowie z Ars Technica badaczka oceniła zagrożenie słowami: „Niebezpieczne jest tu to, że można zebrać razem wiele różnych przeglądarek i w przyszłości uruchamiać na nich cokolwiek, co się wymyśli”.
Największe kontrowersje budzi jednak sam fakt opublikowania działającego kodu exploita przed udostępnieniem poprawki. Oznacza to, że szczegóły techniczne umożliwiające odtworzenie ataku stały się publicznie dostępne, podczas gdy podatność nadal pozostaje obecna w Chromium.
0 komentarzy