Raportată prima dată în anul 2022 de către Lyra Rebane, un expert independent în securitate cibernetică, o vulnerabilitate a motorului Chromium ar fi rămas complet ignorată de Google până în prezent, permițând hackerilor și organizații din domeniul spionajului să deturneze orice PC sau laptop echipat cu Google Chrome, Microsoft Edge sau orice web browser bazat pe motorul Chromium.
Ceea ce face din acest exploit un pericol de nivel zero-day este faptul că poate declanșat la simpla accesare a unui website modificat, fără strategii complicate care să te convingă să instalezi o anume extensie sau aplicație rău intenționată. Nu trebuie să dai click nicăieri și nici să acorzi permisiuni de acces. Practic, nu ai cum să-ți dai seama dacă PC-ul tău face deja parte dintr-o rețea botnet.
Pentru cine nu știe, rețelele botnet reprezintă principala armă folosită de grupările de hackeri pentru a bloca, perturba activitatea site-urilor sau serviciilor din internet desemnate drept țintă pentru atacuri informatice DDoS. Cum ar fi, vrei să creezi haos perturbând activitatea unei instituții bancare sau serviciul public folosit de mii de persoane? Un atac DDoS poate aduce rezultatul dorit prin inundarea serverelor instituției cu trafic de internet nesolicitat.
Experta Lyra Rebane ar fi raportat în privat vulnerabilitatea descoperită direct către Google, la sfârșitul anului 2022. Aproape doi ani și jumătate mai târziu, se pare că vulnerabilitatea este încă activă, iar acum codul de exploatare cu scop demonstrativ a fost publicat pe internet. Altfel spus, cine nu știa până acum de această vulnerabilitate are ocazia recupereze, transformând codul demonstrativ într-o software pentru infectarea la scară largă dispozitivelor vulnerabile.
La sursa problemei se află Browser Fetch, un standard web conceput pentru confort înainte de toate. Acesta permite browserelor să continue descărcarea fișierelor sau videoclipurilor mari în fundal, chiar dacă ai închis deja tab-ul paginii respective. Dar, conform descoperirilor lui Rebane, atacatorii pot abuza de același sistem pentru a crea conexiuni în fundal persistente între browserul web și un server din internet ales de atacator. Cu suficient de multe PC-uri atrase în rețeaua sa botnet, un hacker care s-a folosit de un site popular pentru a controla în mod simultan mii/sute de mii de PC-uri poate iniția atacuri DDoS de mare amploare, cu costuri și riscuri minime pentru sine.
Pe unele browsere Chromium, conexiunea poate supraviețui chiar și după ce browserul sau întregul computer repornește, ceea ce înseamnă că PC-ul odată recrutat în rețeaua botnet, va rămâne disponibil și gata să recepționeze comenzi pentru atacuri DDoS. O persoană obișnuită nu ar avea aproape nicio modalitate că s-a întâmplat ceva neobișnuit, singurul indiciu fiind traficul de rețea suspect de mare și încetinirea temporară a conexiunii la internet. Iar dacă te gândești că o scanare antivirus poate expune infectarea, total greșit. Totul se întâmplă în interiorul browser-ului web, prin exploatarea protocolului Browser Fetch.
Potrivit lui Rebane, inginerii Google au recunoscut inițial raportul ca fiind o „vulnerabilitate gravă” și au clasificat-o intern ca S1, care este a doua cea mai mare clasificare a companiei. Dar cu toate acestea, problema a fost făcută uitată în sistemul de urmărire a erorilor Chromium timp de aproximativ 29 de luni, fără ca o soluție să ajungă la utilizatori.
