Google опубликовала эксплойт против миллионов пользователей Chromium

Google опубликовала эксплойт-код для неустранённой уязвимости в кодовой базе своего браузера Chromium. Она угрожает миллионам пользователей Chrome, Microsoft Edge и практически всех других браузеров на основе движка.

Исходник использует программный интерфейс Browser Fetch, стандарт, позволяющий загружать длинные видео и другие большие файлы в фоновом режиме. Злоумышленник может использовать эксплойт для создания соединения для мониторинга некоторых аспектов использования браузера пользователем, а равным образом в качестве прокси для просмотра сайтов и запуска атак типа «отказ в обслуживании». В зависимости от браузера, соединения либо возобновляются, либо остаются открытыми даже после перезагрузки браузера или устройства, на котором он запущен.

Уязвимость не могут устранить уже 29 месяцев. Она может быть использована любым веб-сайтом, который посещает потребитель. По существу, компрометация представляет собой бэкдор, который делает девайс частью ограниченной ботнет-сети. Возможности уязвимости диктуются теми же функциями, что и у обычного браузера, такими как посещение вредоносных сайтов, предоставление анонимного просмотра через прокси-сервер, компания DDoS-атак с использованием прокси и мониторинг активности пользователей. 

Тем не менее, эта уязвимость может позволить злоумышленнику подключить к сети тысячи, возможно, миллионы устройств. Как только появится отдельный баг, хакер сможет применять её для компрометации всех этих устройств.

«Опасность здесь в том, что вы можете просто объединить много разных браузеров, чтобы в будущем запустить на них что-то», — сказала Лира Ребане, независимый исследователь, обнаружившая уязвимость и сообщившая о ней Google в конце 2022 года в интервью. Она рассказала, что использование кода эксплойта, преждевременно опубликованного Google, будет «довольно простым», хотя масштабирование его для подключения большого количества устройств к одной сети потребует глубокой работы. В ветке обсуждения сообщения Ребане Google два разработчика в отдельных ответах заявили, что это «серьёзная уязвимость». Её уровень был оценён как S1, второй по величине.

Ребане предположила, что уязвимость исправили, но стало известно, что это не так, а Google позднее удалила сообщение с эксплойт-кодом.

«Я думаю, что произошедшее несколько нестандартно, поскольку не выходит за рамки каких-либо определённых границ безопасности. Итак, это не позволяет злоумышленнику, например, получить доступ к вашей электронной почте, компьютеру или чему-то подобному. Думаю, это привело к тому, что работники Google не понимали сути задачи, и поэтому её решение заняло так много времени», — сказала исследователь. 

Используя уязвимость программный интерфейс загрузки браузера, код открывает сервис-воркер, который остается постоянно активным. Соединение инициируется JavaScript, работающим на вредоносном сайте. Эксплойты особенно трудно обнаружить при запуске в Edge. JavaScript «может» открыть выпадающее окно загрузки, но не добавляет в него никаких элементов. При последующих запусках браузера это окно больше не будет отображаться. В Chrome выпадающее окно загрузки более устойчиво. В любом случае, менее опытные пользователи, скорее всего, сочтут такое поведение результатом ошибки и не будут знать, что их девайс скомпрометировано.

В закрытой теме сообщения об ошибке разработчик объявил, что, в соответствии с логам, использование функции фоновой загрузки чрезвычайно ограничено в Chrome, в среднем «~17 завершенных файлов на пользователя в день». «Это вполне убедительное подтверждение того, что ничего ужасного в больших масштабах не происходит», — создал текст разработчик. Неизвестно, насколько широко эта функция используется в браузерах, отличных от Chrome. Ребане сказала, что сомневается в этом.

Тем не менее, пользователям браузеров на основе Chromium следует с подозрением относиться к выпадающим спискам загрузки, которые появляются без видимой причины. Среди таких браузеров — Brave, Opera, Vivaldi и Arc. Firefox и Safari не затронуты, поскольку они не поддерживают функцию загрузки браузера.

Осенью 2025 года исследователь кибербезопасности Хосе Пино выявил серьёзную уязвимость Brash в движке Blink, которая позволяет быстро вывести из строя многие браузеры на базе Chromium или спровоцировать снижение всей системы. Он опубликовал PoC-эксплойт.