Google admite haber ocultado una vulnerabilidad durante dos años y medio — y luego publica el código del ataque en línea
Google hizo pública una vulnerabilidad de Chromium antes de corregirla.
Google reveló por error el código de un ataque contra una vulnerabilidad aún sin corregir en Chromium. Estuvieron en riesgo los usuarios de Chrome, Microsoft Edge y otros navegadores basados en Chromium.
La vulnerabilidad está relacionada con la API Browser Fetch, que permite al navegador descargar archivos grandes en segundo plano. Mediante un sitio malicioso, un atacante puede crear una conexión oculta y usar el navegador de la víctima para acceder a sitios, enrutar el tráfico, realizar ataques de denegación de servicio y observar parcialmente las acciones del usuario.
El problema lo descubrió la especialista independiente Lira Rebane y entregó los datos a Google a finales de 2022. Según ella, el código de ataque de demostración publicado por Google es fácil de usar, aunque reunir con él una gran red de dispositivos infectados será más difícil. En una discusión privada, dos desarrolladores calificaron la vulnerabilidad de seria, y su nivel de peligrosidad lo evaluaron como S1 – el segundo nivel más relevante en la clasificación de Chromium.
La vulnerabilidad permaneció abierta casi 29 meses, hasta que Google publicó una entrada en el sistema de seguimiento de errores de Chromium. Rebane al principio pensó que la corrección ya había salido, pero pronto comprobó que la brecha seguía sin cerrarse. Google eliminó la publicación; sin embargo, copias de la página y del código de ataque ya se conservaron en archivos.
El ataque lanza a través de JavaScript en una página maliciosa un "service worker". En Edge es especialmente difícil notar el problema. El navegador puede abrir la ventana de descargas, pero sin archivos visibles. En ejecuciones posteriores la ventana deja de aparecer. En Chrome la ventana de descargas se comporta de forma más evidente, pero muchos usuarios pueden tomar ese comportamiento extraño por un fallo habitual.
La vulnerabilidad en sí no proporciona acceso directo al correo, a los archivos ni al sistema del usuario. El riesgo es otro: el atacante puede agrupar muchos navegadores en una red limitada y luego usar esa red para nuevos ataques si surge una vulnerabilidad distinta.
Según uno de los desarrolladores de Chromium, la función de descargas en segundo plano en Chrome se usa raramente, lo que reduce la probabilidad de ataques masivos. Rebane también duda de que la brecha ya se esté usando activamente contra otros navegadores. La vulnerabilidad fue confirmada en Brave, Opera, Vivaldi y Arc. Firefox y Safari no se ven afectados, ya que no soportan la función problemática. A los usuarios de navegadores basados en Chromium les conviene estar atentos si la ventana de descargas aparece sin una razón aparente.