당신의 브라우저가 이미 이 위험한 Chrome 결함 때문에 botnet의 일부일 수 있습니다

Source: Android Authority

TL;DR

• 최근 공개된 Chromium 취약점은 악성 웹사이트가 다운로드, 팝업, 사용자 상호작용 없이도 Chrome 및 Edge와 같은 브라우저를 조용히 장악할 수 있게 합니다.
• 이 악용은 Browser Fetch 기능을 남용하는데, 이는 백그라운드 다운로드를 위한 것이며, 브라우저를 트래픽 프록시 또는 DDoS 공격을 수행하는 경량 봇넷으로 전환시킬 수 있습니다.
• 보안 연구원 Lyra Rebane이 2022년에 구글에 이 결함을 보고했지만, 내부적으로 심각한 S1 취약점으로 분류된 상태에서도 29개월이 지난 지금까지도 패치되지 않았습니다.

Google Chrome, Microsoft Edge 또는 거의 모든 브라우저가 Chromium 기반이라면, 새롭게 밝혀진 보안 결함이 여러분을 위험에 빠뜨릴 수 있습니다. 설치할 악성 앱도, 클릭할 의심스러운 팝업도, 승인할 권한도 없습니다. 경우에 따라 웹사이트를 열기만 해도 트리거될 수 있습니다.

Discovery and Reporting

이 문제는 독립 보안 연구원 Lyra Rebane(infosec.exchange/@rebane2001)에 의해 발견되었으며, 2022년 말에 구글에 비공개로 보고되었습니다. 거의 2년 반이 지난 지금도 취약점은 아직 패치되지 않았으며, 개념 증명(POC) 악용 코드는 이제 공개되었습니다.

“Google 엔지니어들은 처음에 이 보고서를 ‘심각한 취약점’으로 인정했으며, 내부적으로는 S1, 즉 회사에서 두 번째로 높은 심각도 등급으로 분류했습니다.” – Rebane

How the Exploit Works

문제의 핵심은 Browser Fetch라는 웹 표준으로, 탭을 닫은 뒤에도 브라우저가 대용량 파일이나 비디오를 백그라운드에서 계속 다운로드할 수 있게 합니다. Rebane의 연구에 따르면, 공격자는 이 메커니즘을 악용해 피해자의 브라우저와 원격 서버 사이에 장기적인 백그라운드 연결을 만들 수 있습니다. 이를 통해 악성 사이트는 다음을 수행할 수 있습니다:

• 브라우저를 익명 프록시로 전환
• 악성 트래픽을 중계
• 분산 서비스 거부(DDoS) 공격에 참여
• 사용자의 브라우징 활동에 대한 제한된 정보를 노출

이 연결은 브라우저나 전체 컴퓨터가 재시작된 후에도 지속될 수 있어 탐지가 매우 어렵습니다. 전통적인 악성코드와 달리 전체 작업이 브라우저 프로세스 내부에서만 이루어집니다.

Impact on Users

• 은밀한 동작: 사용자는 눈에 띄는 증상을 전혀 느끼지 못할 수 있습니다.
• 잠재적 지속성: 일부 Chromium 브라우저에서는 악성 연결이 재시작 후에도 살아남습니다.
• 제한된 사용자 제어: 평균 사용자에게 이 활동을 감지하거나 중단할 간단한 방법이 없습니다.

Detection

감염 여부를 확인하는 방법은 모호합니다:

• Microsoft Edge: 실제 파일이 없지만 다운로드와 관련된 팝업이 잠시 나타날 수 있습니다.
• Google Chrome: 비슷한 일시적 경고가 나타나며, 보통 첫 번째 발생 후 사라집니다.

대부분의 사용자는 이를 일반적인 브라우저 오류로 무시할 가능성이 높습니다.

Current Status and Mitigation

• 공개된 수정 없음: 구글은 아직 패치를 배포하지 않았으며, 복구 일정도 제시하지 않았습니다.
• 사용자 가이드: 수정이 제공될 때까지 가장 안전한 방법은 의심스러운 웹사이트를 피하고 알 수 없는 링크에 주의하는 것입니다.

Images