Luka w Chromium może utrzymać ukryte połączenie w tle
Ujawniono lukę w przeglądarkach opartych na Chromium, która może pozwolić złośliwej stronie utrzymywać trwałe połączenie w tle. Pozwala to wykorzystywać przeglądarkę użytkownika jako element cudzej infrastruktury ataku.
Problem dotyczy m.in. Google Chrome, Microsoft Edge i innych przeglądarek bazujących na Chromium. W opisywanym scenariuszu użytkownik nie musi instalować aplikacji ani klikać podejrzanych okienek — czasem wystarczy samo otwarcie strony internetowej.
Jak wynika z opisu, źródłem ryzyka ma być mechanizm Browser Fetch, czyli standard pozwalający kontynuować pobieranie dużych plików lub wideo nawet po zamknięciu karty. Badaczka bezpieczeństwa Lyra Rebane wskazuje, że ten sam mechanizm da się nadużyć do tworzenia długotrwałych połączeń z serwerem zdalnym.
W praktyce złośliwa witryna może utrzymać połączenie także po opuszczeniu strony, a przeglądarka może działać jak anonimowy pośrednik ruchu. W praktyce możliwy jest m.in. udział w atakach DDoS, przekazywanie szkodliwego ruchu oraz ujawnienie ograniczonych informacji o aktywności przeglądania.
Całość może pozostać niemal niewidoczna dla przeciętnej osoby, bo nie przypomina klasycznego złośliwego oprogramowania. W części przeglądarek Chromium połączenie ma przetrwać nawet restart programu, a w niektórych przypadkach także ponowne uruchomienie komputera.
Rebane miała zgłosić problem prywatnie do Google pod koniec 2022 r. Według relacji inżynierowie Google początkowo uznali zgłoszenie za "poważną lukę" i sklasyfikowali je jako "S1", czyli drugi najwyższy poziom ważności w wewnętrznej skali firmy.
Materiał wskazuje, że po ok. 29 miesiącach luka nadal ma pozostawać bez łatki, a kod demonstracyjny (proof-of-concept) stał się publicznie dostępny. Nie ma potwierdzonej poprawki ani terminu jej wydania, a użytkownikom pozostaje ostrożność wobec nieznanych linków i podejrzanych stron.
