Google expõe falha no Chromium que podia manter Service Workers ativos após reinício

por
Google expõe falha no Chromium que podia manter Service Workers ativos após reinício

Resumo IA

  • Google revelou por engano falha grave no Chromium, descoberta em 2022 e sem correção por 46 meses.
  • A vulnerabilidade afeta a API Background Fetch, permitindo Service Workers persistentes.
  • Estes Service Workers podem rastrear a atividade online mesmo após reinício do navegador ou dispositivo.
Recebe as notícias em primeira mão! Junta-te aos nossos canais oficiais e não percas as novidades.
WhatsApp Telegram

A Google revelou por engano uma falha grave de segurança no Chromium, a base do Chrome e de browsers como o Brave, Microsoft Edge, Opera e Vivaldi. O problema afeta a API Background Fetch e pode permitir a execução persistente de Service Workers depois de o utilizador visitar uma página maliciosa.

Segundo a investigadora Lyra Rebane, a vulnerabilidade foi identificada em 2022, mas o relatório ficou sem correção durante 46 meses. A Google terá classificado o caso como P1 e com gravidade S2, mas acabou por tornar pública a informação antes de aplicar uma correção efetiva.

O risco técnico

Um Service Worker não é, por si só, código malicioso. No entanto, neste cenário, pode ser usado para seguir atividade online através de registos de data e hora, endereço IP e dados de telemetria.

Em termos práticos, isso significa que um browser baseado em Chromium podia ficar exposto a um comportamento persistente mesmo depois de reinício do dispositivo ou do próprio navegador. Rebane criou ainda uma prova de conceito que gerava um Service Worker com capacidade de continuar ativo após o reinício.

  • Base afetada: Chromium
  • API envolvida: Background Fetch
  • Efeito observado: Service Worker persistente
  • Risco associado: rastreio de atividade e execução continuada

O que mudou agora

A Google terá aberto o relatório por engano e voltou a fechá-lo rapidamente depois de a falha se tornar pública. A página foi arquivada e pode ainda ser consultada online, tal como o código de prova de conceito associado ao caso.

Inicialmente, a investigadora assumiu que a exposição dos detalhes significava que a correção já tinha sido feita. Mais tarde, verificou que a prova de conceito continuava a funcionar e concluiu que não tinha sido implementada qualquer mitigação real.

A falha não afeta o Mozilla Firefox nem o Safari, porque nenhum deles suporta a API Background Fetch do Chromium. O Firefox usa Gecko ou Quantum, enquanto o Safari assenta em WebKit.

Pontos-Chave

  • A falha foi descoberta em 2022 e ficou sem correção durante anos.
  • O problema envolve a API Background Fetch do Chromium.
  • Service Workers podiam manter-se ativos após reinício.
  • A exposição pública do relatório terá ocorrido por erro da Google.
  • Firefox e Safari não são afetados por esta vulnerabilidade específica.

Dica de Especialista

Para equipas técnicas que dependem de browsers baseados em Chromium, a prioridade passa por acompanhar de perto os avisos de segurança do projeto e validar qualquer dependência que use Service Workers ou tarefas em segundo plano. Em ambientes geridos, o controlo de versões do browser e a monitorização de comportamento persistente no cliente continuam a ser medidas essenciais.

Fontes

  • Chromium Security
  • Google Chrome Releases
  • Mozilla Security Advisories

🤔 Faltou alguma coisa?

Ajude-nos a melhorar este conteúdo. Ser-lhe-á enviado um email de confirmação.

Deixe um comentário

Partilhar no WhatsApp
MadGNews IA×
Olá! 👋 Sou o assistente inteligente do MadGNews.

Procure por escolas, hospitais ou pesquise nos nossos artigos!

Identifique-se para usar a IA gratuitamente: