Chromium, una falla può trasformare il browser in parte di una botnet

Una pagina aperta nel browser, senza installare nulla e senza autorizzare permessi evidenti, potrebbe bastare per trasformare Chrome, Edge o un altro browser basato su Chromium in una componente di una rete controllata da altri. La vulnerabilità, scoperta dalla ricercatrice indipendente Lyra Rebane e segnalata privatamente a Google alla fine del 2022, non passa da un malware tradizionale, da un’estensione sospetta o da un file scaricato dall’utente, ma da una falla nella gestione dei download in background che, stando a quanto riportato da Ars Technica, sarebbe rimasta senza correzione per 29 mesi.

Il problema riguarda Browser Fetch, una funzione pensata per consentire al browser di proseguire in background il download di file grandi o video. In pratica, un sito malevolo potrebbe sfruttarla per aprire una connessione persistente tra il browser dell’utente e un server remoto. In alcuni casi, quella connessione potrebbe restare attiva o riattivarsi anche dopo la chiusura del browser o il riavvio del dispositivo.

La falla non permetterebbe di prendere il controllo completo del computer, né di accedere direttamente a file, email o password. Il problema è più circoscritto, ma non per questo trascurabile: il browser potrebbe essere usato come proxy anonimo, per raggiungere siti attraverso il dispositivo dell’utente, partecipare ad attacchi DDoS o monitorare alcuni aspetti dell’attività di navigazione.

Su larga scala, lo scenario cambia. Un singolo browser avrebbe capacità limitate, ma migliaia o milioni di browser coinvolti nello stesso meccanismo potrebbero diventare una rete difficile da individuare. Rebane ha spiegato che usare il codice proof-of-concept pubblicato nel bug tracker di Chromium sarebbe piuttosto semplice, mentre costruire una rete ampia e coordinata richiederebbe più lavoro.

A rendere la vicenda più delicata è la pubblicazione del codice di exploit nel bug tracker di Chromium, prima della successiva rimozione. La vulnerabilità, secondo quanto riportato, era stata classificata internamente come S1, il secondo livello più alto nella scala di gravità usata da Google, ma nonostante questo non sarebbe arrivata una correzione per oltre due anni.

I browser coinvolti sarebbero quelli basati su Chromium, quindi Chrome, Edge, Brave, Opera, Vivaldi e Arc. Firefox e Safari non sarebbero interessati perché non supportano la funzione Browser Fetch. Per gli utenti, al momento, non ci sarebbe una correzione pubblicamente confermata: resta quindi consigliabile mantenere il browser aggiornato, evitare siti poco affidabili e prestare attenzione a eventuali menu di download che compaiono senza motivo apparente.

CLICCA QUI PER CONTINUARE A LEGGERE