구글, 수백만 크로미엄 사용자 위협하는 익스플로잇 코드 공개

출처: Slashdot

개요

익명의 독자는 Ars Technica 보도를 인용해 구글이 Chromium 코드베이스에 아직 패치되지 않은 취약점에 대한 익스플로잇 코드를 공개했다고 전했습니다. 이 취약점은 수백만 명의 Chrome, Microsoft Edge 및 사실상 모든 Chromium 기반 브라우저 사용자에게 위협이 됩니다.

기술적 세부 사항

• 개념 증명(POC) 익스플로잇은 Browser Fetch API를 악용합니다. 이 표준은 긴 동영상 및 기타 대용량 파일을 백그라운드에서 다운로드할 수 있게 해줍니다.
• 이 API를 남용해 익스플로잇은 서비스 워커를 열어 지속적으로 활성 상태를 유지합니다.
• 악성 웹사이트는 JavaScript를 통해 서비스 워커를 트리거할 수 있으며, 이를 통해 다음과 같은 연결을 만들 수 있습니다:
  • 사용자의 브라우저 사용 상황 모니터링
  • 사이트 열람을 위한 프록시 역할 수행
  • 서비스 거부(DoS) 공격 실행

“이 익스플로잇은 Chromium의 Browser Fetch API를 악용해 지속적으로 활성화된 서비스 워커를 여는 방식으로 동작합니다.” – Ars Technica

브라우저에 따라 연결은 재부팅 후에도 다시 열리거나 계속 열려 있게 되어, 장치를 제한된 봇넷의 일부분으로 전환시킵니다.

영향

• 이 취약점은 사용자가 방문하는 어떤 웹사이트에서도 트리거될 수 있습니다.
• 제한된 백도어를 제공하여 침해된 장치가 다음을 수행하도록 합니다:
  • 공격자를 대신해 악성 사이트 방문
  • 다른 사람에게 익명 프록시 브라우징 제공
  • 프록시된 DDoS 공격 수행
  • 사용자 활동 모니터링

추가적인 취약점이 나중에 발견될 경우, 공격자는 이미 이 네트워크에 포함된 모든 장치를 손쉽게 장악할 수 있어 봇넷 규모를 수천 대, 수백만 대까지 확장할 가능성이 있습니다.

대응

• 이 취약점은 독립 연구원 Lyra Rebane이 2022년 말에 구글에 비공개로 보고했습니다.
• 이후 인터뷰에서 Rebane은 공개된 익스플로잇 코드를 사용하는 것은 “꽤 쉬울 것”이라면서도, 이를 대규모 네트워크로 확장하려면 추가 작업이 필요하다고 언급했습니다.
• Rebane의 보고에 응답한 두 명의 Chromium 개발자는 이를 **“심각한 취약점”**이라 평가했으며, 심각도 등급을 S1(두 번째로 높은 분류)으로 매겼습니다.
• Chromium 개발자들만 알고 있던 지 29개월 만에, 해당 익스플로잇은 수요일 아침 Chromium 버그 트래커에 공개되었습니다.
• 구글은 처음에 게시물을 삭제했지만, 익스플로잇 코드는 아카이브 사이트에서 여전히 접근 가능합니다.
• 구글 관계자는 왜 취약점이 공개되었는지, 언제 수정이 이루어질지에 대한 질문에 답변하지 않았습니다.

참고 자료

• Ars Technica 기사: https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/
• Rebane이 이전에 문제를 해결했다고 가정한 내용: https://infosec.exchange/@rebane2001/116606719764376414