Google堆出的瀏覽器Chrome近期爆出重大安全漏洞,恐讓手機、平板或筆電在使用者毫無察覺情況下,被駭客利用成為「殭屍網路(Botnet)」的一部分。更引發外界關注的是,這項漏洞其實早在2022年底就已通報Google,但至今仍未修補;除Chrome外,採用Chromium核心的瀏覽器,包括Microsoft Edge等,也可能面臨相同風險。相較之下,由於蘋果Safari等並未採用Chromium核心,目前被認為相對安全。

 

下載檔案技術出包 用戶恐成「殭屍網路」幫兇

 

根據外媒報導,問題核心與一項名為「Browser Fetch」的技術有關。這項功能原本是讓瀏覽器即使關閉分頁後,也能持續在背景下載檔案,以提升使用便利性。不過,資安研究人員發現,攻擊者也能利用相同機制,在背景悄悄與裝置建立長時間連線,甚至把手機、平板或電腦納入大型殭屍網路。

 

所謂Botnet(殭屍網路),是由大量遭駭客遠端控制裝置組成的網路,常被用來散布垃圾訊息、發動DDoS分散式阻斷服務攻擊,甚至成為大型網路攻擊工具,也可能增加部分瀏覽紀錄與敏感資料外洩風險。

 

2022年就已通報 Google近3年未修

 

這項漏洞最早由獨立資安研究員Lyra Rebane發現,並於2022年底正式通報Google,但近3年來仍未修復。目前網路上甚至已出現「概念驗證(PoC)」攻擊程式碼,代表只要具備基本資安知識,就有機會利用這項漏洞發動攻擊。

 

更令人擔憂的是,使用者不需安裝App、不必點擊可疑廣告,甚至不用授權任何權限,只要進入特定網站就可能中招,部分背景連線甚至可能在關閉瀏覽器或重新開機後仍持續存在。

 

屬高風險漏洞 未公布修復時間

 

據悉,Google內部已將此問題列為「S1」等級重要漏洞,屬於第二高風險等級,但截至目前仍未公布具體修復時程。由於這類漏洞相當隱蔽,多數使用者可能根本不知道自己是否已受到影響。

 

研究人員建議,在官方修補程式推出前,民眾應盡量避免瀏覽可疑網站、不要隨意下載不明檔案與點擊陌生連結,並持續更新瀏覽器版本,以降低風險。外界也持續關注Google後續何時推出正式修補程式。(責任編輯:呂品逸)