Chrome瀏覽器爆重大漏洞，但Google遲未修復。（圖／路透社）

Google Chrome瀏覽器驚傳重大漏洞，恐讓你的手機、平板或筆電，在完全不知情的情況下，偷偷變成「殭屍網路(Botnet)」的一部分。更引發熱議的是，這項漏洞早在2022年就已通報給Google，但直到現在仍未修補。

根據報導，這項漏洞不只影響Chrome，幾乎所有採用Chromium核心的瀏覽器都可能受到波及，包括Microsoft Edge等瀏覽器都有風險；相較之下，由於蘋果Safari等並未採用 Chromium核心，目前被認為相對安全。

請繼續往下閱讀...

Browser Fetch成漏洞核心

這次問題的核心，與一項名為「Browser Fetch」的技術有關。它原本是一種讓瀏覽器能在背景持續下載檔案的標準機制，因此即使使用者關閉分頁，下載仍能繼續進行。原本這項功能是為了提升便利性，但資安研究人員發現，攻擊者也能利用相同機制，偷偷與使用者瀏覽器建立長時間背景連線，進一步把手機等裝置變成大型殭屍網路的一部分。

所謂Botnet(殭屍網路)，其實就是一大群被駭客遠端控制的裝置組成的網路，常被拿來發送垃圾訊息、進行DDoS分散式阻斷服務攻擊，甚至成為大型網路攻擊的一部分。更麻煩的是，這類惡意連線還可能讓部分瀏覽紀錄與敏感資料暴露風險。

這項漏洞最早是由獨立資安研究員Lyra Rebane發現，並於2022年底正式通報 Google。不過將近3年過去，漏洞至今仍未修補。更令人擔憂的是，目前網路上甚至已經出現「概念驗證(PoC)」攻擊程式碼，代表只要具備基本資安知識，就有機會利用這項漏洞進行攻擊。

另一方面，使用者甚至不需要安裝App、不需要點擊奇怪廣告，也不用允許任何權限，只要打開某個網站，就可能中招。部分情況下，背景連線甚至可能在關閉瀏覽器、重新開機後依舊持續存在。

Google列重要漏洞但尚未修復

據悉，Google早已承認這項問題存在，內部甚至將其列為「S1」等級的嚴重漏洞，這也是 Google第二高的風險等級。不過，即便漏洞已存在長達29個月，Google至今仍未推出正式修補方案。這可能是因為這類漏洞剛好處於一個尷尬灰色地帶，它不像傳統漏洞那樣能直接偷走密碼、信用卡或檔案，但又足以被拿來進行大型網路攻擊，因此修補優先級始終沒有被大幅拉高。

截至目前為止，Google尚未公布具體修復時程。由於這類漏洞相當隱蔽，多數使用者可能根本不知道自己是否已受到影響。在官方修補程式推出前，研究人員建議民眾盡量避免瀏覽可疑網站、不要隨意下載不明檔案，同時也要小心陌生連結，並持續更新瀏覽器版本。外界也持續關注Google後續是否會正式推出修補措施。

標題：Chrome漏洞恐讓手機淪殭屍網路！Google早知情拖2年半未修補

地址：https://www.twetclubs.com/post/144693.html