Tehnološki velikan Google je izdal nujno varnostno posodobitev za spletni brskalnik chrome, ki ga po svetu vsak dan uporablja 3,5 milijarde ljudi, vključno z veliko večino slovenskih spletnih uporabnikov in podjetij. Paket popravkov naslavlja osem resnih varnostnih ranljivosti. Hkrati strokovnjaki za kibernetsko varnost opozarjajo na nedavno odpravljeno kritično napako v priljubljeni brskalniški razširitvi z umetno inteligenco ter naraščajočo sistemsko nevarnost ugrabljenih vtičnikov (extentions).
Čeprav se chrome načeloma posodablja samodejno v ozadju, je Google uporabnike pozval k takojšnjemu ukrepanju. Samodejna uvedba posodobitve v celotnem omrežju namreč lahko traja več dni ali celo tednov. Nacionalni odzivni centri in varnostni strokovnjaki uporabnikom svetujejo ročno sprožitev posodobitve v meniju za nastavitve. Po namestitvi je za aktiviranje zaščite nujen ponoven zagon brskalnika.
Nove varne različice brskalnika nosijo oznako 146.0.7680.164 oziroma 146.0.7680.165 za operacijska sistema windows in mac, 146.0.7680.164 za linux ter 146.0.76380.164 za naprave android.
Ključne komponente
Po uradnih navedbah Googlovih inženirjev napake zadevajo ključne arhitekturne komponente brskalnika, vključno s tehnologijami webaudio, webgl, webgpu, procesiranjem CSS in pisav ter celo komponento za avtentikacijo identitete (fedcm). Vseh osem ranljivosti nosi visoko oceno tveganja.
Podrobnosti o napakah ostajajo strogo zaupne, dokler večina naprav ne prejme popravka, za zdaj pa ni dokazov, da bi hekerji te ranljivosti že aktivno izkoriščali v tako imenovanih napadih ničtega dne (zero-day).
Obsežna Googlova posodobitev sovpada z objavo tehničnega poročila o odpravljeni kritični ranljivosti v chromovi razširitvi claude, ki integrira storitve umetne inteligence podjetja Anthropic. Varnostni raziskovalec Oren Yomtov iz podjetja Koi je razkril ranljivost, poimenovano shadowprompt, je še poročal Forbes.
Šlo je za izjemno nevarno pomanjkljivost, ki je napadalcem omogočala pošiljanje ukazov umetni inteligenci (tako imenovani prompt injection), takoj ko je uporabnik obiskal zlonamerno spletno stran. Posebnost napada je bila, da ni zahteval popolnoma nobene interakcije – niti enega klika ali potrditve od žrtve. Do zlorabe je vodila kombinacija preohlapnih varnostnih dovoljenj v razširitvi in ranljivosti za izvajanje medmrežnega skriptiranja (XSS) v varnostni komponenti CAPTCHA podjetja Arkose Labs.
Preverjanje različice
Po zasebnem obvestilu razvijalcem konec decembra sta podjetji napako že odpravili. Vsem uporabnikom razširitve claude priporočajo preverjanje različice (zahtevana je različica 1.0.41 ali novejša).
Primer se je končal uspešno, vendar strokovnjaki svarijo pred veliko bolj zahrbtno prakso: legitimnimi razširitvami, ki čez noč postanejo zlonamerne. Googlovi avtomatizirani filtri v trgovini Chrome Web Store dokaj uspešno blokirajo neposredno zlonamerno kodo, zato so napadalci spremenili taktiko. Odkupujejo priljubljene, legitimne in že preverjene razširitve od njihovih prvotnih razvijalcev.
Zgovoren je nedavni primer razširitve quicklens. Ta je bila sprva povsem uporabno in nedolžno orodje za iskanje s pomočjo storitve google lens, imela je več tisoč rednih uporabnikov in celo Googlovo oznako priporočila. Kmalu po tem, ko je prvotni razvijalec projekt prodal, so novi (zlonamerni) lastniki izdali posodobitev, ki je vključevala kodo za krajo podatkov in izvajanje napadov ClickFix. Google je razširitev po odkritju odstranil in jo na daljavo onemogočil na napravah uporabnikov.
Za zaščito pred tovrstnimi napadi strokovnjaki priporočajo dva ključna koraka. Prvič, uporabniki naj v nastavitvah zasebnosti in varnosti brskalnika chrome preklopijo način »varnega brskanja« na »okrepljeno zaščito« (enhanced protection), ki aktivneje preverja grožnje.
Drugič, kot preventivni ukrep si lahko uporabniki namestijo nadzorno orodje, kot je razširitev under new management (razvijalec ClassVSoftware). Njena edina naloga je, da uporabnika z rdečo oznako opozori vsakič, ko katera od nameščenih razširitev zamenja razvijalca, kar je najpogostejši indikator morebitne zlorabe lastništva.
