O vulnerabilitate recent dezvăluită, numită Brash, demonstrează cum o omisiune fundamentală de proiectare a motorului Blink al Chromium poate fi utilizată pentru a bloca browserele în câteva secunde, afectând potențial miliarde de utilizatori de pe sisteme desktop, mobile și încorporate, potrivit The Rgister.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Cercetătorul în domeniul securității Jose Pino a publicat exploitul sub licența MIT pe GitHub în urmă cu câteva zile, documentând modul în care actualizările necontrolate ale document.title pot fi utilizate pentru a satura firul de execuție UI, făcând browserul să nu mai răspundă și, în cele din urmă, forțând o blocare.
Chrome cel mai popular browser din lume
Chrome este cel mai popular browser din lume, cu o cotă de piață de peste 70%, potrivit StatCounter, și asta fără a lua în calcul toate persoanele care utilizează oricare dintre browserele open source bazate pe Chromium, inclusiv Microsoft Edge, ChatGPT Atlas de la OpenAI, Brave și Vivaldi. Având în vedere că se estimează că există un număr de 5,5 miliarde de utilizatori de internet, acest lucru sugerează că Chrome este utilizat de peste 3 miliarde de persoane.
Chromium este un proiect de browser web gratuit și open-source, dezvoltat și întreținut în principal de Google. Este o bază de cod utilizată pe scară largă, care furnizează marea majoritate a codului pentru Google Chrome și multe alte browsere, inclusiv Microsoft Edge, Samsung Internet și Opera. Codul este utilizat și de mai multe cadre de aplicații.
Potrivit lui Jose Pino, toate browserele bazate pe Chromium sunt vulnerabile în versiunile actuale și recente, inclusiv Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser, Dia Browser, OpenAI ChatGPT Atlas și Perplexity Comet. Mozilla Firefox bazat pe Gecko și Apple Safari bazat pe WebKit sunt imune la atac, la fel ca toate browserele terțe de pe iOS, având în vedere că toate sunt bazate pe WebKit.
Blocarea Chrome în câteva secunde
Vulnerabilitatea provine din absența limitării ratei API-ului document.title în motorul de randare Blink integrat în Chromium. Dovada funcționării vulnerabilității (proof of concept – PoC) a lui Pino, intitulată Brash, inițiază un flux de actualizări consecutive, utilizând șiruri de caractere pregenerate pentru a evita optimizările browserului și cache-ul memoriei. Această abordare permite exploit-ului să efectueze milioane de mutații DOM pe secundă, blocând efectiv funcționarea browserului.
Mutațiile DOM sunt modificări aduse structurii sau conținutului Document Object Model (DOM), care reprezintă structura unei pagini web. Aceste modificări dinamice includ adăugarea, eliminarea sau modificarea elementelor HTML, a atributelor și a textului, adesea declanșate de interacțiunile utilizatorului sau de scripturi – bucăți de cod integrate în website. Exemple includ apariția unui mesaj de chat live sau schimbarea stilului unui buton după un clic.
Defectul – vulnerabilitatea – se datorează absenței limitării actualizărilor document.title, astfel încât, în esență, profită de faptul că Blink nu limitează consumul de resurse.
„Vectorul de atac provine din absența completă a limitării ratei actualizărilor API document.title”, a spus Pino într-o cercetare publicată pe GitHub. „Acest lucru permite injectarea a milioane de mutații DOM pe secundă și, în timpul acestei încercări de injectare, saturează firul principal, perturbă bucla de evenimente și provoacă prăbușirea interfeței.”
Atacul se desfășoară în trei faze cheie
În primul rând, în faza de pregătire, atacatorul preîncarcă în memorie 100 de șiruri hexazecimale unice de 512 caractere. Este „crucial” să nu se reutilizeze pur și simplu șirurile, deoarece acest lucru reduce eficacitatea atacului, a explicat Pino.
Apoi, atacul se execută în rafale de trei actualizări consecutive ale document.title. Pino a utilizat o configurație anume ce determină procesarea a aproximativ 24 de milioane de actualizări pe secundă, provocând astfel blocarea browserului.
Apoi, în a treia etapă, actualizările continue saturează firul principal al browserului, consumând astfel cantități masive de putere de calcul și împiedicându-l să proceseze alte evenimente. Între cinci și 10 secunde, filele browserului se vor bloca; între 10 și 15 secunde, acesta se va prăbuși sau va afișa o casetă de dialog „pagină care nu răspunde”, iar între 15 și 60 de secunde de la începerea atacului, browserele bazate pe Chromium vor necesita închiderea forțată.
Pino a testat vulnerabilitatea pe 11 browsere importante pe macOS, Windows și Linux. Toate browserele bazate pe Blink au prezentat defecțiuni grave, în timp ce Firefox și Safari au rămas neafectate.
Domeniul de aplicare și impactul
Browserele bazate pe Chromium reprezintă peste 70% din piața globală a browserelor, ceea ce înseamnă că Brash ajunge la miliarde de utilizatori. Defectul afectează versiunile Chromium până la 143.0.7483.0, cu blocări confirmate pe versiunile 138.0.7204.251, 141.0.7390.108 și 143.0.7483.0.
Motorul Blink al Google, dezvoltat pentru a oferi o redare de înaltă performanță în Chrome și derivatele sale, se află în centrul Chromium. Designul său gestionează majoritatea operațiunilor DOM în mod sincron pe firul principal de execuție, ceea ce devine o slăbiciune critică în cazul apelurilor API necontrolate, cum ar fi document.title.
Exploit-ul este în prezent operațional și accesibil publicului prin demonstrații live și locale.
Cu toate acestea, adevărata problemă provine din potențialul de exploatare malițioasă. Pino prezintă mai multe scenarii de atac cu impact ridicat în care Brash ar putea provoca daune în lumea reală, cum ar fi:
- Browserele Chromium utilizate de agenți AI pentru scraping sau monitorizarea conformității pot fi blocate în mod silențios, oprind fluxurile de date.
- Comercianții care utilizează terminale web ar putea fi vizați în momente critice, ceea ce ar putea declanșa instabilitatea pieței.
- Sistemele bancare ar putea fi orbite în timpul vârfurilor de tranzacții, permițând fraudelor să treacă neobservate.
Ceea ce face Brash deosebit de periculos este flexibilitatea sa în ceea ce privește sincronizarea. Folosind un API simplu, atacatorii pot întârzia sau programa execuția, creând oportunități pentru acțiuni ascunse, consolidarea încrederii și sabotaje la momentul oportun.
Pino a declarat că a dezvăluit inițial acest lucru echipei de securitate Chromium pe 28 august și cu revenire pe 30 august, dar nu a primit niciun răspuns.
El a decis să publice acest PoC pentru a „atrage atenția asupra unei probleme grave care afectează un număr mare de utilizatori de internet, după ce raportul inițial de acum două luni a rămas fără răspuns. Atenționarea publicului este necesară atunci când divulgarea responsabilă nu produce o remediere în timp util”, a spus Pino.
