Ви нічого не бачили: Google випадково розкрила й спробувала приховати багаторічну вразливість Chromium — Depositphotos

Google нещодавно опублікувала, а потім швидко приховала інформацію про серйозну багаторічну вразливість Chromium.

Вразливість була вперше виявлена ще у 2022 році й досі не виправлена. За словами дослідниці Ліри Ребане, яка першою виявила її, Google приховала звіт про помилку, навіть не провівши ретельної перевірки щодо впливу вразливості на безпеку веббраузера.

Ребане пояснює, що вразливість пов’язана з API фонового завантаження Chromium, який може запускати Service Worker після відвідування користувачем небезпечних сторінок. Google пояснює, що Service Worker являє спеціалізовані компоненти JavaScript, які виконують роль посередників між веббраузерами та серверами, забезпечуючи підвищену надійність внаслідок роботи в автономному режимі та швидшого завантаження сторінок.

Виявлена дослідницею помилка у коді призводила того, що Service Worker продовжував працювати навіть після перезавантаження пристрою або браузера. Сам по собі Service Worker не становить небезпеки, однак його можна використати для відстежування активності користувачів у мережі з допомогою тимчасових міток, журналів IP-адрес та інших телеметричних даних.

Ще більшу небезпеку становить те, що Service Worker може запускати шкідливі програми, які зберігаються віддалено, використовуватись в атаках типу “відмова в обслуговуванні” проти певних цілей та бути доданим у розподілену мережу ботів з обмеженими шкідливими можливостями. Ребане зазначає, що випадково розкритий Google код може зробити використання цієї вразливості відносно простим.

Однак для перетворення вразливості у зброю за допомогою мережі ботів все одно необхідні певні технічні зусилля та навички. Після звіту Ребане Google не вжила ніяких дій протягом 4 років, перш ніж випадково розкрила інформацію про вразливість.

Розробники Chrome швидко приховали звіт, однак сторінка вже була заархівована й залишається доступною разом з кодом PoC, опублікованим Ребане. Спочатку дослідниця була переконана, що інформація про вразливість стала публічною й в Google виправили помилку, однак вона швидко з’ясувала, що це не так.

Створення Service Worker супроводжуватиметься появою діалогового вікна в Google Chrome, тоді як в Microsoft Edge те саме відбуватиметься без попередження користувача. Оскільки Mozilla Firefox та Apple Safari не підтримують Fetch API, ця проблема, ймовірно, їх не зачепить.