Google, Chromium tabanlı tarayıcılarda milyonlarca kullanıcıyı riske atabilecek, henüz giderilmemiş bir güvenlik açığı için örnek kod yayınladı. Bu durum, Chrome, Microsoft Edge ve diğer Chromium tabanlı tarayıcıları kullanan herkesi etkileyebilir.
Söz konusu kod, uzun videolar ve diğer büyük dosyaların arka planda indirilmesine olanak tanıyan Browser Fetch programlama arayüzünü hedef alıyor. Saldırganlar bu açıktan yararlanarak, kullanıcının tarayıcı kullanımının bazı yönlerini izlemek ve hatta siteleri görüntülemek veya hizmet reddi (DoS) saldırıları başlatmak için bir proxy oluşturmak amacıyla bir bağlantı kurabiliyor. Tarayıcıya bağlı olarak, bu bağlantılar yeniden açılabiliyor veya cihaz yeniden başlatılsa bile açık kalabiliyor.
29 Aydır Giderilmeyen Tehlike (ve Bekleyiş Sürüyor)
Giderilmeyen bu güvenlik açığından, bir kullanıcının ziyaret ettiği herhangi bir web sitesi aracılığıyla faydalanılabiliyor. Temelde, bu durum bir tür sınırlı arka kapı oluşturarak cihazı sınırlı bir botnetin parçası haline getiriyor. Yetenekler, tarayıcının yapabildiği şeylerle sınırlı olsa da (kötü amaçlı siteleri ziyaret etme, başkaları için anonim proxy taraması sağlama, proxy'li DDoS saldırılarını etkinleştirme ve kullanıcı etkinliğini izleme), bir saldırganın binlerce, hatta milyonlarca cihazı tek bir ağda toplamasına olanak tanıyabilir. Bu noktada, ayrı bir güvenlik açığı bulunduğunda, saldırgan bu ağdaki tüm cihazları ele geçirebilir.
Güvenlik açığını keşfeden ve 2022'nin sonlarında Google'a özel olarak bildiren bağımsız araştırmacı Lyra Rebane, yaptığı açıklamada, “Buradaki tehlikeli kısım, gelecekte üzerine bir şeyler çalıştırabileceğiniz birçok farklı tarayıcıyı bir araya getirebilmeniz” dedi. Rebane, Google'ın erken yayınladığı örnek kodun kullanımının “oldukça kolay” olacağını, ancak büyük sayıda cihazı tek bir ağda toplamak için ölçeklendirmenin daha fazla çalışma gerektireceğini belirtti. Rebane'in Google'a yaptığı bildirim zincirinde, iki geliştirici ayrı yanıtlarında bunun “ciddi bir güvenlik açığı” olduğunu belirtmiş ve kusurun ciddiyet derecesi en yüksek ikinci sınıflandırma olan S1 olarak derecelendirilmişti.
Bildirimin üzerinden 29 ay geçmesine rağmen, güvenlik açığı Chromium geliştiricileri dışında kimse tarafından bilinmiyordu. Çarşamba sabahı ise Chromium hata izleyicisine yayınlandı. Rebane başlangıçta güvenlik açığının nihayet düzeltildiğini düşünmüştü. Kısa bir süre sonra, aslında henüz yamalanmadığını öğrendi. Google yayını kaldırmış olsa da, örnek kodla birlikte arşiv sitelerinde hala erişilebilir durumda.
Google temsilcileri, güvenlik açığının nasıl ve neden yayınlandığı, bir düzeltmenin olup olmayacağı veya ne zaman yayınlanacağı sorularını içeren bir e-postaya hemen yanıt vermedi.
Uzun Gecikmeler Yaygın
Rebane, daha önce de birden fazla Chrome veya Chromium güvenlik açığı bildirdiğini ve bunların düzeltildiğini söyledi. Bu tür uzun düzeltme gecikmelerinin yaygın olduğunu ancak bu vakanın en uzun gecikme olduğunu belirtti.
Rebane, “Sanırım olanlar biraz standart dışı çünkü herhangi bir tanımlanmış güvenlik sınırını aşmıyor” dedi. “Bu, bir saldırganın örneğin e-postalarınıza veya bilgisayarınıza erişmesine izin vermiyor. Sanırım bu, Google'daki kendi ekiplerinin atanmasında veya atanan kişilerin bunu anlamamasında rol oynadı ve bu yüzden bu kadar uzun sürdü.”
Browser Fetch API'sini sömürerek, kod kalıcı olarak aktif kalan bir service worker açıyor. Bağlantı, kötü amaçlı bir sitede çalışan JavaScript tarafından tetikleniyor. Edge'de çalıştırıldığında saldırılar özellikle tespit edilmesi zor olabiliyor. JavaScript, bir indirme açılır penceresini açabilir ancak buna herhangi bir öğe eklemez. Daha sonraki tarayıcı başlatmalarında pencere tekrar görünmez. Chrome'da indirme açılır penceresi daha kalıcıdır. Her iki durumda da, daha az deneyimli kullanıcılar bu davranışı rahatsız edici bir hata olarak değerlendirebilir ve cihazlarının tehlikeye girdiğinden hiçbir şekilde haberdar olmayabilirler.
Özel hata bildirim zincirinde bir geliştirici, günlüklerin Chrome'da arka plan getirme özelliğinin kullanımının son derece sınırlı olduğunu gösterdiğini, kullanıcı başına günde ortalama “yaklaşık 17 tamamlanmış dosya” olduğunu belirtti. Geliştirici, “Bu, ölçekte hiçbir şeyin kötüye gitmediğine dair oldukça sağlam bir onay” diye yazdı. Chrome dışındaki tarayıcılarda bu özelliğin ne kadar yaygın olarak kullanıldığı bilinmiyor. Rebane, güvenlik açığının diğer tarayıcılara karşı aktif olarak sömürüldüğünden şüphesi olduğunu söyledi.
Bununla birlikte, güvenlik açığı bir risk oluşturuyor. Chromium tarayıcı kullanıcıları, hiçbir sebep yok yere görünen indirme açılır pencereleri konusunda şüpheci olmalıdır. Nedenini derinlemesine araştırmak ve bunların güvenlik açığının sömürülmesinin bir sonucu olduğunu keşfetmek daha karmaşıktır. Rebane tarafından güvenlik açığına sahip olduğu doğrulanan diğer tarayıcılar arasında Brave, Opera, Vivaldi ve Arc bulunuyor. Firefox ve Safari ise tarayıcı getirme özelliğini desteklemedikleri için etkilenmiyor.
