Google ha pubblicato accidentalmente il codice exploit di una vulnerabilità ancora irrisolta presente nel progetto Chromium, la base tecnica utilizzata da browser come Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc. La falla, segnalata privatamente già alla fine del 2022, potrebbe consentire ad attaccanti di creare connessioni persistenti capaci di monitorare alcune attività dell’utente e sfruttare il browser come proxy per attività malevole.
Il problema riguarda milioni di utenti e nasce dall’implementazione della funzione Browser Fetch, utilizzata per gestire download in background di file di grandi dimensioni.
Una vulnerabilità rimasta aperta per oltre due anni
La scoperta è stata effettuata dalla ricercatrice indipendente Lyra Rebane, che aveva comunicato il problema a Google circa 29 mesi fa. Nonostante la gravità classificata internamente come S1, il secondo livello più alto di criticità, la falla è rimasta senza correzione.
Mercoledì Google ha pubblicato sul bug tracker di Chromium i dettagli tecnici della vulnerabilità insieme al codice proof-of-concept necessario per sfruttarla. Inizialmente Rebane aveva pensato che il bug fosse finalmente stato corretto, salvo poi scoprire che la patch non era ancora disponibile.
Il post è stato successivamente rimosso, ma il materiale continua a circolare attraverso siti di archiviazione online.
Secondo la ricercatrice, l’exploit sarebbe relativamente semplice da utilizzare. Più complesso, invece, sarebbe creare una rete di migliaia o milioni di dispositivi compromessi. Tuttavia, la possibilità esiste e rappresenta uno scenario particolarmente preoccupante.
Come funziona l’exploit pubblicato da Google
La vulnerabilità sfrutta la API Background Fetch, un sistema che permette ai browser di continuare i download anche in background. Attraverso codice JavaScript eseguito su un sito malevolo, un attaccante può aprire un service worker persistente che continua a restare attivo nel browser.
Questo comportamento permette di creare connessioni che, in alcuni casi, sopravvivono persino al riavvio del browser o del dispositivo. In pratica, il computer dell’utente può diventare parte di una sorta di botnet limitata alle capacità del browser stesso.
Le attività possibili includono:
- navigazione anonima tramite proxy;
- visite automatiche a siti malevoli;
- attacchi DDoS tramite browser;
- monitoraggio di alcune attività dell’utente.
Pur non consentendo l’accesso diretto a file personali o email, la vulnerabilità potrebbe diventare molto più pericolosa se combinata con altri exploit futuri.
Edge e Chrome si comportano in modo diverso
Secondo Rebane, gli exploit risultano particolarmente difficili da individuare su Microsoft Edge. In alcuni casi il browser potrebbe mostrare una finestra relativa ai download, senza però visualizzare file effettivi. Dopo i successivi avvii del browser, anche quell’indicatore potrebbe sparire.
Su Google Chrome, invece, il menu dei download tende a comparire con maggiore frequenza. Per utenti poco esperti, il comportamento potrebbe sembrare semplicemente un bug fastidioso e non un segnale di compromissione del sistema.
Uno sviluppatore Chromium coinvolto nella discussione privata del bug ha spiegato che l’utilizzo della funzione Background Fetch sarebbe piuttosto limitato su Chrome, con circa “17 file completati per utente al giorno” in media. Secondo gli sviluppatori, questo rappresenterebbe un indizio del fatto che non siano in corso attacchi su larga scala.
I browser coinvolti e quelli immuni
Oltre a Chrome ed Edge, Rebane ha confermato la vulnerabilità anche su:
- Brave
- Opera
- Vivaldi
- Arc
Restano invece immuni Mozilla Firefox e Safari, poiché non implementano la funzione Browser Fetch utilizzata dall’exploit.
Google, almeno per ora, non ha fornito spiegazioni ufficiali sui motivi della pubblicazione anticipata del codice né indicazioni precise sull’arrivo di una patch definitiva.
Nel frattempo, gli utenti dei browser Chromium sono invitati a prestare attenzione a finestre di download sospette o apparentemente senza motivo, anche se identificare concretamente un’infezione resta tutt’altro che semplice.
Fonte: Ars Technica
