Basta una pagina web aperta, nessun file da scaricare, nessun permesso strano da concedere. Eppure una falla in Chromium potrebbe essere sufficiente a trasformare il browser in un nodo di una rete controllata da qualcun altro. Una vera e propria botnet, costruita non con i classici malware, ma sfruttando un meccanismo che esiste già dentro al browser stesso. La vulnerabilità è stata individuata dalla ricercatrice indipendente Lyra Rebane, che l’ha segnalata privatamente a Google alla fine del 2022. Il punto critico? Sarebbe rimasta senza correzione per ben 29 mesi.
Il cuore del problema sta in una funzione chiamata Browser Fetch, pensata per permettere al browser di continuare a scaricare file di grandi dimensioni o video anche in background. Di per sé, una cosa utile. Il guaio è che un sito malevolo potrebbe abusarne per aprire una connessione persistente tra il browser dell’utente e un server remoto. E in alcuni casi, quella connessione potrebbe sopravvivere alla chiusura del browser o addirittura al riavvio del dispositivo.
Non è un malware classico, ma il rischio è concreto
Qui va fatta una precisazione importante. Questa vulnerabilità non permette a nessuno di prendere il controllo totale del computer, né di accedere a file personali, email o password. Il problema è più sottile, ma non per questo meno serio: il browser potrebbe essere utilizzato come proxy anonimo, cioè come ponte per raggiungere siti attraverso il dispositivo dell’utente, oppure per partecipare ad attacchi DDoS o monitorare alcuni aspetti della navigazione.
Su piccola scala, l’impatto è limitato. Un singolo browser non può fare granché. Ma se si pensa a migliaia o milioni di browser coinvolti, lo scenario diventa molto più preoccupante. Rebane ha spiegato che utilizzare il codice proof of concept pubblicato nel bug tracker di Chromium sarebbe relativamente semplice, mentre mettere in piedi una rete ampia e coordinata richiederebbe più impegno.
A complicare ulteriormente la situazione, c’è il fatto che il codice di exploit era stato pubblicato proprio nel bug tracker di Chromium, prima di essere rimosso. La falla era stata classificata internamente come S1, ovvero il secondo livello più alto nella scala di gravità usata da Google. Nonostante questa classificazione, la correzione non sarebbe arrivata per oltre due anni.
Quali browser sono coinvolti e cosa fare
I browser esposti sono tutti quelli basati su Chromium: quindi Chrome, Edge, Brave, Opera, Vivaldi e Arc. Firefox e Safari non risultano interessati, semplicemente perché non supportano la funzione Browser Fetch.
Per chi usa uno dei browser coinvolti, al momento non esiste una correzione pubblicamente confermata. Le raccomandazioni restano quelle di buon senso: tenere il browser sempre aggiornato, evitare siti poco affidabili e fare attenzione a eventuali menu di download che compaiono senza motivo apparente. La falla in Chromium, insomma, è un caso che mostra quanto possa essere delicato il confine tra una funzionalità utile e un potenziale vettore di attacco, soprattutto quando una segnalazione resta senza risposta per quasi due anni e mezzo.
