Google pubblica l'exploit di Chrome per sbaglio: milioni di utenti a rischio

Un errore di comunicazione interna in Google ha esposto il codice di un exploit funzionante per una vulnerabilità critica di Chrome e di tutti i browser basati su Chromium — inclusi Microsoft Edge, Brave e Opera — prima che una patch ufficiale fosse disponibile per la maggior parte degli utenti. Punto Informatico ha riportato che il codice è stato pubblicato sul tracker pubblico di Chromium e, sebbene rimosso rapidamente, è già stato archiviato altrove. La finestra di vulnerabilità è ora aperta: chiunque visiti una pagina malevola potrebbe essere compromesso senza accorgersene.

Chi

La vulnerabilità è stata scoperta dalla ricercatrice di sicurezza indipendente Lyra Rebane a dicembre 2022. Google l'ha classificata internamente come S1, il secondo livello di gravità più alto nella sua tassonomia. A fine ottobre 2024, uno sviluppatore Google ha notato che il problema non era stato risolto nonostante fossero passati quasi 29 mesi dalla segnalazione iniziale.

Cosa è successo

Il 20 maggio 2024, Google ha rimosso le restrizioni di accesso al thread sul Chromium Issue Tracker, ritenendo che la patch fosse stata distribuita. In realtà, Lyra Rebane ha verificato che la vulnerabilità era ancora presente nei browser. Nel processo, il codice dell'exploit è stato reso pubblico per errore. L'accesso al thread è stato bloccato di nuovo, ma il codice era già stato archiviato e diffuso in altri canali.

La vulnerabilità riguarda l'API Background Fetch, uno standard web che consente ai siti di scaricare file di grandi dimensioni in background, anche dopo la chiusura della scheda o del browser. L'exploit sfrutta questo meccanismo per aprire un service worker persistente — essenzialmente una backdoor — che mantiene una connessione attiva tra il browser e un server controllato dall'attaccante.

Secondo Hardware Upgrade, il vettore di infezione è particolarmente insidioso: richiede solo che l'utente visiti una pagina malevola. Non serve scaricare nulla, approvare popup o concedere autorizzazioni esplicite. Su Microsoft Edge, l'unico segnale visibile potrebbe essere un breve popup relativo ai download privo di file reale — facile da ignorare come un piccolo errore. Su Chrome il comportamento è analogo.

Perché è importante

Una volta compromesso, il dispositivo diventa parte di una rete controllata dall'attaccante. Le capacità di esecuzione coincidono con quelle del browser stesso: visitare altri siti, fungere da proxy anonimo, partecipare ad attacchi DDoS, raccogliere informazioni parziali sulla navigazione dell'utente. Non c'è accesso diretto a file, password o email, ma la compromissione equivale a una backdoor di portata ridotta che inserisce il dispositivo in una potenziale botnet.

Il problema critico è la tempistica: il codice dell'exploit è ora pubblico, ma la patch non è ancora disponibile per la maggior parte degli utenti. Anche se Google distribuisce aggiornamenti automatici, molti dispositivi — specialmente in ambienti aziendali o con utenti meno attenti agli aggiornamenti — rimangono vulnerabili. Questo crea una finestra di opportunità per gli attaccanti che, fino a pochi giorni fa, non avevano accesso al codice di exploit funzionante.

La situazione solleva anche questioni sulla politica di divulgazione responsabile di Google. L'azienda ha una storia di pubblicare exploit dopo che le patch sono distribuite, per educare la community di sicurezza. Tuttavia, in questo caso, la pubblicazione è avvenuta prima che milioni di utenti avessero la possibilità di aggiornare, trasformando una vulnerabilità potenziale in una minaccia concreta e imminente.

Cosa aspettarsi

Google dovrebbe rilasciare una patch ufficiale nei prossimi giorni. Nel frattempo, gli utenti di Chrome, Edge, Brave e altri browser Chromium dovrebbero verificare di avere l'ultima versione installata. Su Chrome, è possibile controllare andando in Menu > Informazioni su Google Chrome: il browser si aggiornerà automaticamente e richiederà un riavvio.

I ricercatori di sicurezza monitoreranno se l'exploit viene utilizzato in attacchi reali. Dato che il codice è pubblico e il vettore di infezione è semplice (basta visitare una pagina), è probabile che il malware basato su questa vulnerabilità compaia nelle prossime settimane. Le aziende dovrebbero considerare di forzare gli aggiornamenti dei browser sui dispositivi aziendali.

La domanda aperta è come Google gestirà questa situazione: se la patch arriverà prima che gli attaccanti la sfruttino su larga scala, il danno sarà contenuto. Se no, potremmo assistere a una delle compromissioni di browser più diffuse degli ultimi anni.