Uživatelé webových prohlížečů postavených na platformě Chromium, jako jsou Google Chrome, Microsoft Edge a řada dalších, čelí vážnému bezpečnostnímu riziku. Nově odhalená zranitelnost umožňuje útočníkům tiše ovládnout prohlížeč, aniž by uživatel musel cokoli stahovat, klikat na podezřelá vyskakovací okna nebo schvalovat jakákoli oprávnění. V mnoha případech stačí k aktivaci hrozby pouhé otevření běžné webové stránky.
Na problém upozornila nezávislá bezpečnostní analytička Lyra Rebane, která chybu soukromě nahlásila společnosti Google již koncem roku 2022. Přestože od nahlášení uplynulo téměř dva a půl roku (přesně 29 měsíců), chyba stále nebyla opravena a v současné době jsou již veřejně dostupné funkční koncepty (proof-of-concept) tohoto útoku.
Prohlížeč jako součást botnetu
Jádrem celého problému je webový standard s názvem Browser Fetch. Ten byl původně navržen pro pohodlí uživatelů – umožňuje prohlížečům pokračovat ve stahování velkých souborů nebo videí na pozadí, a to i po zavření příslušné karty. Útočníci však dokáží tento systém zneužít k vytvoření trvalého spojení na pozadí mezi prohlížečem oběti a vzdáleným serverem.
Škodlivý web tak může prohlížeč potají přeměnit na součást útočné infrastruktury (tzv. botnet). Jakmile uživatel navštíví na první pohled zcela normální stránku – například recept, odkaz na Redditu nebo výsledek vyhledávání, na pozadí se spustí trvalé připojení, které běží i po opuštění webu. Napadený prohlížeč pak může sloužit jako anonymní proxy server, pomáhat s přesměrováním škodlivého provozu, účastnit se DDoS útoků na jiné cíle nebo v omezené míře odhalovat informace o aktivitě uživatele na síti.
Neviditelná hrozba, která přežije i restart
Tato zranitelnost je pro běžné uživatele prakticky neodhalitelná, protože se nechová jako tradiční malware. Vše se odehrává výhradně uvnitř samotného prohlížeče. U některých prohlížečů postavených na Chromiu navíc toto nebezpečné spojení dokáže přežít nejen restart samotného programu, ale dokonce i restart celého počítače.
Inženýři Googlu po obdržení hlášení v roce 2022 uznali, že jde o vážný problém, a interně chybě přiřadili hodnocení S1, což je druhá nejvyšší úroveň závažnosti. Přesto se oprava do dnešního dne k uživatelům nedostala. Podle Rebane zranitelnost pravděpodobně zapadla do „šedé zóny“, je sice nebezpečná svým plošným dopadem, ale nevede k přímému úniku citlivých souborů, hesel nebo e-mailů, což zřejmě snížilo prioritu okamžitého nasazení záplaty.
Mohlo by vás zajímat
Jak poznat napadení?
Detekce je velmi komplikovaná. V prohlížeči Microsoft Edge se může na krátkou chvíli objevit vyskakovací okno spojené se stahováním, přestože se žádný soubor reálně nestáhne. Podobně se může chovat i Google Chrome, avšak toto varování se často zobrazí pouze poprvé a následně zmizí. Většina uživatelů takové chování pravděpodobně vyhodnotí jako drobnou chybu prohlížeče a nebude mu věnovat pozornost.
Oficiální oprava ze strany Googlu zatím nebyla potvrzena a není jasné, kdy dorazí patřičná aktualizace. Uživatelům se v tuto chvíli doporučuje především zvýšená opatrnost při klikání na neznámé odkazy a vyhýbání se podezřelým webovým stránkám.
