Google случайно раскрыл детали уязвимости в Chromium, которая позволяет запускать JavaScript в фоне даже после закрытия браузера. Ошибка затрагивает Chrome, Microsoft Edge, Brave, Opera и другие браузеры на Chromium. Исправления на момент публикации исходных материалов не было, а PoC-эксплоит успел попасть в публичный доступ через Chromium Issue Tracker.
Проблема связана с Background Fetch API и Service Worker. Background Fetch нужен для фоновой загрузки крупных файлов: например, видео, архивов или других тяжёлых объектов, которые не должны прерываться при закрытии вкладки. Service Worker — это фоновый скрипт сайта, который помогает работать с кешем, push-уведомлениями, офлайн-режимом и сетевыми запросами. В нормальной логике браузер должен завершать такую активность, когда она больше не нужна. В этой уязвимости граница ломается.
Баг ещё в конце 2022 года обнаружила независимая исследовательница Лира Ребейн. Она показала, что специально подготовленный сайт может запустить Service Worker, который остаётся активным гораздо дольше ожидаемого и фактически превращает браузер в постоянный фоновый исполнитель JavaScript. Xakep указывает, что уязвимость оставалась неисправленной больше 42 месяцев.
В результате уязвимости, браузер начинает выполнять разрешенные веб-действия без явного участия пользователя. Он может открывать сайты, проксировать трафик, участвовать в DDoS-активности и помогать наблюдать часть браузерного поведения.
Из-за этого исследователи описывают проблему как основу для JavaScript-ботнета. Жертва заходит на вредоносный сайт, браузер получает фонового «пассажира», а атакующий позже использует такие браузеры как распределённую сеть. Звучит слабее, чем полный захват компьютера, но масштаб меняет картину: один такой узел почти бесполезен, тысячи или миллионы уже могут стать инфраструктурой для проксирования, накрутки, сканирования и сетевых атак.
Особенно неприятна история с раскрытием. Chromium Issue Tracker автоматически снял ограничения с отчёта после того, как разработчики пометили проблему как исправленную. По данным Xakep, это произошло через 14 недель после смены статуса. Самого патча при этом не было. Запись вскоре снова скрыли, но PoC уже успел разойтись по архивам и сторонним сайтам.
В Ars Technica писали, что Google опубликовал эксплоит-код до исправления, а уязвимость угрожает пользователям Chrome, Edge и почти всех Chromium-браузеров. Издание также подчёркивало: эксплуатация начинается с посещения сайта, а не с установки расширения или запуска файла. Это делает баг удобным для массовых веб-кампаний, если злоумышленники доведут PoC до стабильного инструмента.
Разработчики Chromium присвоили проблеме приоритет P1 — второй по критичности уровень в их внутренней системе. Полноценный ответ — патч от Chromium и обновления всех браузеров на его базе. До выхода исправления компаниям стоит мониторить странные фоновые соединения браузеров, ограничивать доступ к подозрительным доменам, проверять аномалии вокруг загрузок и Service Worker, а в чувствительных средах рассмотреть браузерную изоляцию. Обычным пользователям стоит обновлять браузер сразу после выхода новых сборок и осторожнее относиться к неизвестным сайтам, особенно если после посещения браузер продолжает проявлять сетевую активность.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
