Непоправен проблем в Chromium може да превърне браузърите в постоянни „бот“ възли без знанието на потребителите

Нова уязвимост в екосистемата на Google предизвика сериозни опасения сред експертите по киберсигурност, след като компанията неволно публикува подробности за все още непоправен проблем в Chromium, който позволява изпълнение на JavaScript код във фонов режим дори след затваряне на браузъра.

Проблемът засяга всички Chromium-базирани браузъри, включително:

• Google Chrome
• Microsoft Edge
• Brave
• Opera
• Vivaldi
• Arc

Уязвимостта е открита от изследователката Лира Ребейн още през 2022 г., но според последните тестове проблемът продължава да съществува дори в най-новите developer версии на Chrome и Edge.

Service Worker механизмът се превръща в скрит канал за постоянна активност

Според техническото описание атаката използва функционалността на Service Workers – механизъм в браузърите, предназначен за background задачи като кеширане, синхронизация и изтегляне на съдържание.

Изследователката установява, че злонамерен уебсайт може да създаде Service Worker процес, който никога не приключва. В резултат JavaScript кодът продължава да работи във фонов режим, поддържайки постоянна връзка с команден и контролен сървър (C2), дори след като потребителят затвори браузъра.

На практика това позволява браузърът да бъде използван като постоянен бот агент без допълнително взаимодействие от страна на жертвата.

Потенциал за изграждане на мащабен браузърен ботнет

Според Лира Ребейн експлоатацията може реалистично да доведе до изграждане на големи мрежи от компрометирани браузъри.

В оригиналния доклад тя предупреждава, че десетки хиляди посещения на злонамерен сайт биха могли да бъдат достатъчни за формиране на мащабен JavaScript базиран ботнет.

Сред потенциалните сценарии за злоупотреба се посочват:

• DDoS атаки;
• проксиране на злонамерен трафик;
• скрито пренасочване на заявки;
• relay инфраструктура за други атаки;
• злоупотреба с мрежови ресурси на жертвите.

Особено тревожен е фактът, че в някои случаи потребителят може изобщо да не забележи активността.

Microsoft Edge прави атаката още по-незабележима

Изследователката отбелязва, че по-ранните версии на експлойта поне са показвали download popup прозорец при активиране на механизма.

В последните версии на Microsoft Edge обаче това предупреждение вече не се визуализира.

Това превръща експлоатацията в практически „тиха“ background операция, която може да остане активна без видими индикации за потребителя.

По думите на Ребейн:

„В Edge дори няма да забележите, че нещо не е наред, а връзката към C2 сървъра ще остане активна дори след затваряне на браузъра.“

Google маркира проблема като „поправен“, въпреки че уязвимостта остава активна

Ситуацията се усложнява допълнително от начина, по който Google обработва доклада.

Уязвимостта е призната за валидна още през декември 2022 г. в Chromium Issue Tracker. През октомври 2024 г. вътрешен разработчик на Google определя проблема като „сериозна уязвимост“, изискваща спешен прогрес.

На 10 февруари 2026 г. проблемът е маркиран като поправен, но само минути по-късно отново е отворен заради нерешени въпроси.

Два дни по-късно статусът отново е променен на „fixed“, въпреки че реален patch все още не е разпространен.

След автоматичното премахване на ограниченията за достъп до доклада на 20 май, техническите детайли стават публично достояние за достатъчно дълъг период, за да бъдат копирани и разпространени.

Изтичането на информация значително повишава риска

След повторното тестване на Chrome Dev 150 и Edge 148, Ребейн установява, че експлойтът продължава да работи.

Тогава тя осъзнава, че Google вероятно по погрешка е публикувала подробности за непоправена уязвимост.

Според изследователката:

• разработването на експлойт вече е сравнително лесно;
• изграждането на мащабен ботнет остава по-сложно;
• уязвимостта не позволява директен достъп до файлове, имейли или операционната система;
• проблемът не нарушава browser sandbox защитите.

Въпреки това рискът остава сериозен, тъй като позволява дълготрайно remote JavaScript изпълнение без знанието на потребителя.

Chromium екосистемата отново поставя въпроси за границите между удобство и сигурност

Инцидентът подчертава един от големите проблеми на модерните браузърни архитектури – постепенното превръщане на браузъра в почти пълноценна операционна среда.

Service Workers, background синхронизацията, push механизмите и постоянните процеси значително разширяват функционалността на уеб приложенията, но едновременно с това увеличават и повърхността за атака.

Колкото повече background възможности получават браузърите, толкова по-ценна става компрометацията им за атакуващите.

С оглед публичното изтичане на техническите детайли, очакванията са Google да ускори разработването и разпространението на спешни корекции за Chromium екосистемата.