Google publikon kodin e një eksploiti për Chromium, përpara rregullimit
Google në të hënën e kaluar publikoi kodin e provës së konceptit për një dobësi të pazgjidhur në bazën e kodit të shfletuesit Chromium, e cila mund të prekë miliona përdorues të Chrome‑it, Microsoft Edge‑it dhe të gjithë shfletuesit e tjerë bazuar në Chromium. Eksploitimi bazohet në ndërfaqen Browser Fetch, e cila lejon shkarkimin e skedarëve të mëdhenj në sfond; përmes saj, një sulmues mund të hapë një lidhje për të monitoruar aktivitetin e shfletimit, për të vepruar si proxy për vizitimin e faqeve të dëmshme, apo për të nisur sulme DDoS. Lidhjet e krijuara nga kjo dobësi mund të rihapen ose të mbeten aktive edhe pasi shfletuesi ose pajisja të riniset.
Dobësia ka qenë e pazgjidhur për 42 muaj që nga raportimi i saj në fund të vitit 2022, dhe mund të shfrytëzohet nga çdo faqe që përdoruesi viziton. Praktikisht, kjo përbën një “derë të vogël” që e bën pajisjen pjesë të një botneti të kufizuar, i cili mund të përdoret për të vizituar site‑ra keqbërës, për të ofruar shfletim anonim për të tjerët, ose për të kryer sulme DDoS të përshkruara. Lyra Rebane, studiuesja e pavarur që e zbuloi dobësinë dhe e raportoi në Google, shpjegoi se “pjesa më e rrezikshme këtu është se mund të kesh shumë shfletues të ndryshëm të lidhur së bashku, të cilët në të ardhmen mund të përdoren për të ekzekutuar diçka që ti ke zbuluar”. Në diskutimet me zhvilluesit e Chromium, dy prej tyre e klasifikuan dobësinë si “e rëndë”, duke i dhënë prioritet P1 (i dytë më i lartë) dhe vlerësim serioz S2 (i tretë më i lartë).
Pasi u publikua kodi në sistemin e ndjekjes së gabimeve të Chromium, Google e hoqi menjëherë postimin, por kopjet e tij mbeten të disponueshme në arkiva interneti. Për momentin, përfaqësuesit e Google nuk kanë dhënë përgjigje përse dhe si u ndodhi kjo publikim, por në një deklaratë e shkruan se janë në dijeni të çështjes dhe punojnë në një rregullim. Rebane ka raportuar më shumë dobësi në Chrome/Chromium, të cilat kanë përfunduar me përditësime, por kjo është rastin më i gjatë i vonesës në ndreqje. Eksploitimi përmes API-së Browser Fetch hap një “service worker” që mbetet aktiv vazhdimisht; lidhja niset nga JavaScript në një faqe keqbërëse dhe është veçanërisht e vështirë për t’u zbuluar në Edge. Në Chrome, dritarja e shkarkimeve mund të duket më persistent, ndërsa në Edge shpesh nuk shfaqet fare, duke i bërë përdoruesit pak të përvojshëm të mendojnë se është thjesht një gabim i vogël.
Sipas zhvilluesve, përdorimi i veçorisë së “background fetch” në Chrome është shumë i kufizuar – rreth 17 skedarë të plotësuar në ditë për përdorues mesatar. Kjo sugjeron se në shkallë të gjerë nuk po ndodh ndonjë aktivitet i dëmshëm, megjithatë nuk dihet se sa e përdoret kjo veçori në shfletues të tjerë. Rebane dyshon se dobësia po shfrytëzohet aktivisht në shfletues të tjerë, por përfshin gjithashtu Brave, Opera, Vivaldi dhe Arc. Firefox dhe Safari janë të përjashtuara, pasi nuk mbështesin funksionin Browser Fetch. Përdoruesit e shfletuesve bazuar në Chromium duhet të jenë të kujdesshëm ndaj dritareve të shkarkimeve që shfaqen pa arsye, pasi ato mund të jenë tregues i një kompromisi.