Під загрозою опинилися браузери Chrome, Edge, Opera та інші, що працюють на базі Chromium, через серйозну вразливість, виявлену компанією Google.
Хакери можуть організувати масштабну атаку, і ви про це не дізнаєтеся (фото: Getty Images)
Компанія Google опинилася в серйозному скандалі, випадково опублікувавши робочий код для експлуатації небезпечної вразливості в движку Chromium. Критична прогалина в безпеці залишається невиправленою вже понад два роки і становить загрозу для мільйонів користувачів популярних браузерів.
Як працює вразливість
Проблему виявила незалежна дослідниця Лайра Ребане ще в кінці 2022 року і відразу ж приватно повідомила про це Google. Вразливість прихована в інструменті під назвою Browser Fetch – це стандартна функція, яка дозволяє браузеру завантажувати великі файли або довгі відео у фоновому режимі.
Запуск шкідливого коду відбувається автоматично, коли користувач заходить на будь-який небезпечний сайт, де хакери впровадили спеціальний JavaScript. Після цього в браузері відкривається прихований службовий процес, який залишається активним постійно.
Вразливість виявилася настільки стійкою, що в залежності від типу програми підключення хакерів не зникає навіть після повного перезавантаження самого браузера або комп’ютера.
За словами Ребане, затримка з виправленням виникла через те, що помилка формально не порушує закриті системні межі операційної системи – тобто хакери не можуть безпосередньо вкрасти ваші паролі, особисті фотографії або листи з пошти. Тому розробники Google відклали проблему і не до кінця усвідомлювали її небезпеку, поки випадково не опублікували код у відкритий доступ під час ранкового оновлення бази даних.
Які ризики для користувачів і які браузери під загрозою?
Хоча прямий доступ до файлів комп’ютера закритий, “прогалина” в движку працює як обмежений “бэкдор” (таємний вхід). Зловмисник може об’єднати тисячі або навіть мільйони таких заражених пристроїв в єдину мережу – ботнет.
Отриману мережу хакери здатні використовувати для наступних цілей:
Маскування і проксі: комп’ютер жертви стає безкоштовним анонімним каналом, через який сторонні особи можуть таємно переглядати сайти в інтернеті.
Масові DDoS-атаки: хакери можуть змусити мільйони чужих браузерів одночасно надсилати запити на певний сайт, щоб повністю “паралізувати” його сервери.
Спостереження: частковий моніторинг того, які саме сторінки відвідує користувач.
Постраждати від витоку можуть користувачі майже всіх брендів, які побудовані на базі коду Chromium. Дослідники офіційно підтвердили небезпеку для Chrome, Microsoft Edge, Brave, Opera, Vivaldi та Arc.
Водночас користувачі браузерів Firefox і Safari знаходяться в повній безпеці. Ці програми створені на інших індивідуальних движках і взагалі не підтримують технологію фонового завантаження файлів у такому вигляді.
Як самостійно розпізнати небезпеку?
Експерти зазначають, що звичайній людині помітити злом дуже складно, адже шкідливий процес маскується під незначну системну помилку. Головний ознака, яка повинна викликати підозру – раптове появлення випадаючого вікна завантажень у кутку екрану без жодної зрозумілої причини.
У браузері Microsoft Edge таке вікно може мигнути лише один раз при запуску і більше не з’являтися, не додаючи жодних реальних файлів у список. У Chrome це вікно є більш стійким і залишається довше.
На даний момент представники Google відмовилися коментувати причини витоку і не назвали точних термінів виходу офіційного захисного патча.