Korisnici Chromea, Edgea i brojnih drugih preglednika temeljenih na Chromiumu suočeni su s neugodnim podsjetnikom da web sigurnost ne ovisi samo o tome što preuzimate, nego i o samim mehanizmima preglednika. Novootkrivena ranjivost pokazuje da posjet kompromitiranoj ili zlonamjernoj web stranici u određenim okolnostima može biti dovoljan da se preglednik potajno iskoristi za maliciozne aktivnosti, bez klasičnih upozorenja, skočnih prozora ili traženja dozvola.
U središtu problema nalazi se Fetch, web standard osmišljen kako bi omogućio nastavak pozadinskih preuzimanja i održavanje aktivnih veza čak i nakon zatvaranja korištenog taba. Upravo ta funkcionalnost, koja je zamišljena kao pogodnost za korisnike, prema izvješću sigurnosne istraživačice Lyre Rebane može se zloupotrijebiti za uspostavu dugotrajnih veza između preglednika i udaljenog servera pod kontrolom napadača.
Posljedica toga nije samo tehnički zanimljiv propust, nego potencijalno ozbiljan sigurnosni scenarij. Zlonamjerna stranica mogla bi tako pretvoriti korisnikov preglednik u svojevrsni tihi posrednički čvor za anonimno prosljeđivanje prometa, pomoć u distribuiranim DDoS napadima ili druge oblike mrežnih zloupotreba, i to bez instalacije ijedne aplikacije na računalo ili telefon.
Ono što ovu ranjivost čini posebno neugodnom jest njezina nevidljivost. Prema opisu problema, u nekim Chromium preglednicima takva pozadinska veza može preživjeti čak i nakon zatvaranja preglednika, a ponekad i nakon ponovnog pokretanja računala, što prosječnom korisniku praktički oduzima mogućnost da uopće primijeti da se nešto neobično događa.
Dodatnu težinu cijelom slučaju daje podatak da je Rebane problem Googleu prijavila još krajem 2022. godine. Googleovi inženjeri su tada ranjivost interno klasificirali kao ozbiljan sigurnosni problem razine S1, što je druga najviša interna oznaka ozbiljnosti, ali zakrpa ni nakon 29 mjeseci nije stigla do korisnika.
To otvara neugodno pitanje prioriteta u razvoju sigurnosnih zakrpi. Iako ranjivost možda ne omogućuje izravan pristup lozinkama, e-mailovima ili datotekama, ideja da preglednik može biti tiho regrutiran u “lagani botnet” teško se može opisati kao sporedan problem, osobito kada se zna koliko velik dio modernog internetskog ekosustava ovisi upravo o Chromiumu.
Situaciju dodatno komplicira činjenica da je otkrivanje mogućeg napada vrlo nejasno. U nekim slučajevima Microsoft Edge može kratko prikazati obavijest povezanu s preuzimanjima, iako se zapravo nikakva datoteka ne pojavi, dok Chrome može reagirati na sličan način, ali ni takav trag nije zajamčen niti nužno dovoljno jasan da bi većina korisnika posumnjala na stvarni sigurnosni incident.
Za sada nema javno potvrđene zakrpe ni jasnog roka kada bi rješenje moglo stići. To korisnike ostavlja u neugodnoj poziciji: svjesni su da problem postoji, ali realno imaju vrlo malo konkretnih obrambenih opcija osim pojačanog opreza pri otvaranju sumnjivih stranica i nepoznatih poveznica.
