Ασφάλεια
Η Google δημοσίευσε κατά λάθος κώδικα εκμετάλλευσης για κενό ασφαλείας που απειλεί εκατομμύρια χρήστες Chrome, Edge και άλλων browsers
Τι κάνει αυτή η ευπάθεια
Ο κώδικας εκμετάλλευσης στοχεύει το Browser Fetch API — ένα πρότυπο διεπαφής που επιτρέπει τη λήψη μεγάλων αρχείων, όπως βίντεο, στο παρασκήνιο. Η εκμετάλλευση λειτουργεί κακοποιώντας αυτό το API για να ανοίξει ένα service worker — μια διεργασία browser που παραμένει επίμονα ενεργή. Ένα service worker είναι, ουσιαστικά, ένα script που τρέχει στο παρασκήνιο του browser, ανεξάρτητα από την ιστοσελίδα που επισκέπτεται ο χρήστης.
Ένας επιτιθέμενος μπορεί να χρησιμοποιήσει την εκμετάλλευση για να δημιουργήσει σύνδεση παρακολούθησης ορισμένων πτυχών της χρήσης του browser και ως proxy για επίσκεψη σε sites και εκτέλεση επιθέσεων άρνησης υπηρεσίας (DDoS). Ανάλογα με τον browser, οι συνδέσεις αυτές επαναδημιουργούνται ή παραμένουν ανοιχτές ακόμα και μετά από επανεκκίνηση του browser ή της συσκευής.
Η αδιόρθωτη ευπάθεια μπορεί να εκμεταλλευτεί από οποιοδήποτε site επισκέπτεται ο χρήστης. Στην πράξη, η παραβίαση λειτουργεί ως περιορισμένο backdoor που εντάσσει τη συσκευή σε ένα δίκτυο botnet. Οι δυνατότητες του εισβολέα περιορίζονται σε ό,τι μπορεί να κάνει ένας browser — επίσκεψη σε κακόβουλα sites, ανώνυμη πλοήγηση μέσω proxy, εκτέλεση επιθέσεων DDoS μέσω proxy και παρακολούθηση δραστηριότητας χρήστη. Ωστόσο, η κλίμακα της πιθανής εκμετάλλευσης παραμένει ανησυχητική.
42 μήνες χωρίς διόρθωση
Η ευπάθεια ανακαλύφθηκε και αναφέρθηκε ιδιωτικά στη Google στα τέλη του 2022 από την ανεξάρτητη ερευνήτρια ασφαλείας Lyra Rebane. Στον ιδιωτικό κλάδο αποκάλυψης, δύο προγραμματιστές χαρακτήρισαν σε ξεχωριστές απαντήσεις τους το κενό ως «σοβαρή ευπάθεια». Η εσωτερική κατάταξη προτεραιότητας ορίστηκε P1 (δεύτερη υψηλότερη κατηγορία), ενώ η σοβαρότητα αξιολογήθηκε S2 (τρίτη υψηλότερη κατηγορία).
Η Rebane εξήγησε τον λόγο της εξαιρετικά μεγάλης καθυστέρησης: «Νομίζω ότι αυτό που συνέβη είναι κάπως εκτός προτύπου, καθώς δεν ξεπερνά κανένα καθορισμένο όριο ασφαλείας. Αυτό, υποθέτω, οδήγησε στο να ανατεθεί σε λανθασμένους ανθρώπους ή σε άτομα που δεν το κατανόησαν, και έτσι χάθηκε τόσος χρόνος.»
Την Τετάρτη το πρωί, το Chromium bug tracker δημοσίευσε την καταχώρηση με τον κώδικα εκμετάλλευσης. Η Rebane αρχικά υπέθεσε ότι η ευπάθεια είχε επιτέλους διορθωθεί — μέχρι που ανακάλυψε ότι παρέμενε αδύναμη. Παρά την αφαίρεση της ανάρτησης από τη Google, ο κώδικας παραμένει διαθέσιμος σε αρχειακά sites. Εκπρόσωποι της Google δεν απάντησαν άμεσα σε ερωτήματα για το πώς και γιατί δημοσιεύτηκε η ευπάθεια, ούτε αν και πότε θα γίνει διαθέσιμη διόρθωση.
Πώς εκδηλώνεται η επίθεση — και γιατί είναι δύσκολο να εντοπιστεί
Η εκμετάλλευση ενεργοποιείται από JavaScript που εκτελείται σε κακόβουλο site. Στο Microsoft Edge, η εκμετάλλευση είναι ιδιαίτερα δύσκολο να εντοπιστεί: το JavaScript ενδέχεται να ανοίξει παράθυρο λήψεων, χωρίς όμως να εμφανίσει κανένα αρχείο σε αυτό. Σε επόμενες εκκινήσεις του browser, το παράθυρο αυτό δεν εμφανίζεται πλέον. Στο Chrome, το dropdown λήψεων παραμένει πιο ορατό. Σε αμφότερες τις περιπτώσεις, οι λιγότερο έμπειροι χρήστες είναι πιθανό να ερμηνεύσουν τη συμπεριφορά ως τεχνικό πρόβλημα και να μην αντιληφθούν ότι η συσκευή τους έχει παραβιαστεί.
Στον ιδιωτικό κλάδο αποκάλυψης, προγραμματιστής της Google είχε αναφερθεί σε δεδομένα χρήσης για το Background Fetch, σημειώνοντας μέσο όρο περίπου «~17 ολοκληρωμένα αρχεία ανά χρήστη ανά ημέρα» στο Chrome — εκτίμηση που τότε χρησιμοποιήθηκε για να αιτιολογηθεί ότι δεν συνέβαινε κάτι σε μαζική κλίμακα. Η Rebane εκτίμησε ότι ο κώδικας που δημοσίευσε κατά λάθος η Google θα ήταν «αρκετά εύκολος» στη χρήση, αν και η κλιμάκωση της επίθεσης σε μεγάλους αριθμούς συσκευών θα απαιτούσε περαιτέρω εργασία.
Ποιοι browsers επηρεάζονται
Η Rebane επιβεβαίωσε ότι ευάλωτοι είναι, εκτός από Chrome και Microsoft Edge, επίσης τα Brave, Opera, Vivaldi και Arc — δηλαδή ουσιαστικά κάθε browser βασισμένος στη μηχανή Chromium. Firefox και Safari δεν επηρεάζονται, καθώς δεν υποστηρίζουν το Background Fetch API. Η ερευνήτρια δήλωσε ότι αμφιβάλλει για ενεργή εκμετάλλευση της ευπάθειας σε browsers εκτός Chrome αυτή τη στιγμή.
Το περιστατικό αναδεικνύει ένα γνωστό πρόβλημα στη διαδικασία αποκάλυψης ευπαθειών μεγάλων εταιρειών: όταν μια ευπάθεια αποκαλύπτεται υπεύθυνα, η ομάδα του Chrome αναπτύσσει διόρθωση, τη δοκιμάζει και τη δημοσιεύει — μια διαδικασία που για μη κρίσιμα ζητήματα συχνά διαρκεί αρκετές εβδομάδες. Στη συγκεκριμένη περίπτωση, η διαδικασία αυτή δεν ολοκληρώθηκε σε 42 μήνες.
Μέχρι να κυκλοφορήσει επίσημη διόρθωση, χρήστες browsers βασισμένων στο Chromium θα πρέπει να επιδεικνύουν αυξημένη προσοχή: οποιοδήποτε παράθυρο λήψεων εμφανίζεται χωρίς προφανή λόγο αξίζει διερεύνηση.
Πηγές
Ars Technica — Google publishes exploit code threatening millions of Chromium users Slashdot — Google Publishes Exploit Code Threatening Millions of Chromium Users Lyra Rebane — Mastodon post (infosec.exchange)
15
