Компанія Google опинилася в епіцентрі скандалу після того, як випадково розкрила інформацію про багаторічну вразливість у браузері Chromium. Ця проблема стосується безпеки, і її існування ставить під загрозу мільйони користувачів по всьому світу. Вразливість була виявлена ще кілька років тому, але до останнього часу залишалася непоміченою. Інцидент трапився під час публікації звіту про безпеку, де детально описувалося функціонування системи захисту від шкідливого програмного забезпечення
Google нещодавно опублікувала, а потім швидко приховала інформацію про серйозну багаторічну вразливість Chromium.
Вразливість була вперше виявлена ще у 2022 році й досі не виправлена. За словами дослідниці Ліри Ребане, яка першою виявила її, Google приховала звіт про помилку, навіть не провівши ретельної перевірки щодовпливу вразливостіна безпеку веббраузера.
Ребане пояснює, що вразливість пов’язана з API фонового завантаження Chromium, який може запускати Service Worker після відвідування користувачем небезпечних сторінок. Google пояснює, що Service Worker являє спеціалізовані компоненти JavaScript, які виконують роль посередників між веббраузерами та серверами, забезпечуючи підвищену надійність внаслідок роботи в автономному режимі та швидшого завантаження сторінок.
Виявлена дослідницеюпомилка у кодіпризводила того, що Service Worker продовжував працювати навіть після перезавантаження пристрою або браузера. Сам по собі Service Worker не становить небезпеки, однак його можна використати для відстежування активності користувачів у мережі з допомогою тимчасових міток, журналів IP-адрес та інших телеметричних даних.
Ще більшу небезпеку становить те, що Service Worker може запускати шкідливі програми, які зберігаються віддалено, використовуватись в атаках типу “відмова в обслуговуванні” проти певних цілей та бути доданим у розподілену мережу ботів з обмеженими шкідливими можливостями. Ребане зазначає, що випадково розкритий Google код може зробити використання цієї вразливості відносно простим.
Однак для перетворення вразливості у зброю за допомогою мережі ботів все одно необхідні певні технічні зусилля та навички. Після звіту Ребане Google не вжила ніяких дій протягом 4 років, перш ніж випадково розкрила інформацію про вразливість.
Розробники Chrome швидко приховали звіт, однак сторінка вже була заархівована й залишається доступною разом з кодом PoC, опублікованим Ребане. Спочатку дослідниця була переконана, що інформація про вразливість стала публічною й в Google виправили помилку, однак вона швидко з’ясувала, що це не так.
Створення Service Worker супроводжуватиметься появою діалогового вікна вGoogle Chrome, тоді як в Microsoft Edge те саме відбуватиметься без попередження користувача. Оскільки Mozilla Firefox та Apple Safari не підтримують Fetch API, ця проблема, ймовірно, їх не зачепить.
Крах міфу про безпечну ОС: 11-річну вразливість Linux широко використовують програми-вимагачі