Компанія Google випадково оприлюднила, а потім поспіхом приховала звіт про серйозну вразливість у рушії Chromium, яку не виправляли протягом кількох років. Проблему ще у 2022 році виявила дослідниця безпеки Ліра Ребане. За її словами, техногігант просто приховав баг-репорт без належного аналізу загрози, а за роки бездіяльності так і не усунув уразливість.
Помилка пов’язана з API фонового завантаження Chromium. Через дефект у коді фонові сценарії Service Workers продовжують працювати навіть після перезавантаження пристрою чи браузера. Зловмисники можуть використовувати цю особливість для стеження за користувачами через IP-адреси й телеметрію, запуску шкідливого ПЗ із віддалених серверів або організації DDoS-атак. Опублікований Google код значно спростив практичне використання цього багу.
Хоча розробники Chrome швидко закрили доступ до звіту, сторінка разом із демонстраційним кодом експлуатації (PoC) уже збережена в інтернет-архівах. Наразі створення незатвердженого Service Worker у Google Chrome викликає діалогове вікно попередження, тоді як у Microsoft Edge цей процес запускається непомітно для користувача. Браузери Safari та Firefox цій загрозі не підвладні, оскільки не підтримують відповідний Fetch API.
