O Google divulgou publicamente o código de exploração de uma vulnerabilidade no navegador Chromium, relatada há 29 meses e que permanece sem correção. O problema afeta milhões de usuários do Chrome, Microsoft Edge e outros navegadores baseados no Chromium, incluindo Brave, Opera, Vivaldi e Arc. Firefox e Safari não são afetados.
Fonte da imagem: chromium.org
A vulnerabilidade explorada utiliza a API Background Fetch, um mecanismo para baixar arquivos grandes em segundo plano. Através dela, o atacante inicia um processo em segundo plano (um service worker) no dispositivo da vítima, que permanece constantemente ativo. A conexão é iniciada por um código em um site malicioso e, dependendo do navegador, é restaurada ou persiste mesmo após a reinicialização do dispositivo.
Na prática, o dispositivo se torna parte de uma botnet limitada (uma rede de dispositivos infectados): ele pode acessar sites maliciosos, atuar como um servidor proxy anônimo, participar de ataques DDoS e monitorar a atividade do usuário. A vulnerabilidade é capaz de conectar milhares, senão milhões, de dispositivos.
Lyra Rebane, uma pesquisadora independente que descobriu a vulnerabilidade e a reportou confidencialmente ao Google no final de 2022, afirmou que a exploração é, em sua opinião, bastante simples, embora aumentá-la exija algum esforço. Dois desenvolvedores do Chromium descreveram o problema como uma vulnerabilidade grave com nível de severidade S1, o segundo mais alto.
A vulnerabilidade permaneceu desconhecida fora da equipe do Chromium por 29 meses. Na manhã de quarta-feira, ela apareceu no rastreador de bugs público do projeto. Rehbein inicialmente presumiu que o problema havia sido corrigido, mas descobriu que uma atualização ainda não havia sido lançada. O Google removeu a publicação, mas ela, juntamente com o código de exploração, permanece disponível em sites arquivados. A empresa não respondeu a um pedido de informações sobre os motivos e o cronograma para uma correção.
De acordo com Rehbein, longos atrasos na publicação de patches são comuns, mas desta vez foi um recorde. Ela atribuiu isso ao fato de a vulnerabilidade não estar fora dos limites usuais.Isso compromete a segurança e impede o acesso ao e-mail ou ao computador, dificultando a investigação do problema por parte dos funcionários do Google.
A vulnerabilidade é difícil de detectar e um usuário inexperiente provavelmente a considerará um bug menor. De acordo com registros internos, o uso de downloads em segundo plano no Chrome é mínimo — uma média de cerca de 17 arquivos por usuário por dia — o que, segundo os desenvolvedores, confirma a ausência de exploração generalizada. Rehbein duvida que haja exploração fora do Chrome, mas recomenda que os usuários de navegadores baseados no Chromium fiquem atentos a pop-ups de download que aparecem sem motivo aparente.