Browsers als Google Chrome kunnen stilletjes misbruikt worden als botnet
Er is een kwetsbaarheid ontdekt in Chromium-gebaseerde browsers, zoals Google Chrome, die het hackers toelaat je browser te kapen. Daarmee kan je browser in extreme gevallen worden ingezet als onderdeel van een botnet. Beveiligingsonderzoeker Lyra Rebane zou de kwetsbaarheid al in 2022 op het spoor zijn gekomen. Google werd toentertijd direct ingelicht over het lek in Chromium en alle daarop gebaseerde browsers, evenwel heeft het bedrijf tot op de dag van vandaag nog geen fix uitgebracht. Dat meldt Rebane bij het bekendmaken van de details over de kwetsbaarheid (via Ars Technica).
Wat is Browser Fetch?
Wat deze Chromium-kwetsbaarheid zo ernstig maakt, is dat hackers je browser als botnet kunnen inzetten voor grootschalige DDoS-aanvallen. In dat geval is het de hacker erom te doen de IT-infrastructuur van een bedrijf of overheid offline te halen. Zo’n aanval kan ontwrichtende gevolgen hebben voor een bedrijf of zelfs de samenleving.
Wat nog schrijnender is, is dat je als gebruiker niets hoeft te doen om slachtoffer te worden. Doorgaans moet je als gebruiker nog bepaalde acties uitvoeren om misbruik van een kwetsbaarheid succesvol te maken, maar niet in dit geval, zegt Rebane. Je hoeft niets te installeren, nergens op te klikken of zelfs nergens toestemming voor te geven. De aanval misbruikt daarentegen een ingebakken mechanisme voor downloads dat in alle Chromium-browsers zit: Browser Fetch.
Die feature laat je bestanden downloaden van een site, zelfs als je een tabblad sluit. Handig voor het dagelijks gebruik, maar blijkbaar ook kwetsbaar voor aanvallen. Het is de onafhankelijke beveiligingsonderzoeker namelijk gelukt de downloadtool te misbruiken om een langdurige connectie met de browser op te zetten. Oftewel: de servers van de aanvaller blijven verbonden met de browser. Zodoende wordt de browser eigenlijk een deel van diens infrastructuur en kan het ook worden ingezet voor botnetaanvallen.
Kwetsbaarheid overleeft een herstart
Dat kan ook gebeuren bij ogenschijnlijk veilige websites. Elke website met de software om het lek uit te buiten, zou zo’n langdurige connectie met je browser kunnen opzetten. Het wrede is nog dat je er als gebruiker niets van merkt of ziet. Je ziet geen pop-ups of meldingen dat er iets aan de hand is; Chromium-browsers denken namelijk gewoon dat er een bestand gedownload wordt.
Wie denkt dat het probleem verholpen is na een herstart, komt bovendien bedrogen uit. Volgens de onderzoeker kan de eens opgezette verbinding een herstart van de browser zelfs overleven.
29 maanden zonder oplossing
Rebane brengt de informatie nu naar buiten in de hoop dat het Google aanspoort de problemen op te lossen. De onderzoeker zegt bekend te zijn met lange reactietijden, maar noemt 29 maanden buitenproportioneel lang. Te meer omdat het probleem intern zou zijn aangemerkt als een S1-kwetsbaarheid, de op een na hoogste schaal. Toch lijkt er maar weinig aan te gebeuren.
Ze schat in dat dit ermee te maken heeft dat de kwetsbaarheid in een grijs gebied valt. Hackers kunnen er wel schade mee aanrichten en de bug is dus weliswaar ernstig, maar niet zo kritiek als bugs waarmee hackers direct gebruikersdata kunnen stelen. Dat is hier namelijk niet aan de orde. Google heeft tot op heden nog niet laten weten wanneer er een mogelijke oplossing voor dit lek komt.
