O vulnerabilitate în Chrome expune riscuri majore odată cu integrarea funcțiilor AI
Google a remediat recent o vulnerabilitate critică în browserul Chrome, care putea permite atacatorilor să acceseze date sensibile ale utilizatorilor. Problema, descoperită în urma integrării tot mai profunde a inteligenței artificiale (AI) în browser, evidențiază riscurile de securitate crescute odată cu extinderea funcționalităților AI. Această vulnerabilitate specifică putea fi exploatată prin intermediul extensiilor malițioase, oferind atacatorilor posibilitatea de a accesa camera, microfonul și fișierele utilizatorilor.
Cum funcționa atacul: exploatarea extensiilor și a componentelor AI
Vulnerabilitatea, identificată sub codul CVE-2026-0628, se baza pe o aplicare insuficientă a regulilor de securitate în jurul componentei WebView din Chrome. Un atacator, prin instalarea unei extensii malițioase, putea injecta cod JavaScript în panoul lateral Gemini, noua funcție AI a browserului. „O extensie care influențează o pagină web obișnuită este un risc cunoscut și, până la un punct, anticipat în modelul de securitate al browserului. În schimb, o extensie care ajunge să influențeze o componentă integrată direct în browser, încărcată într-un context privilegiat, schimbă radical situația”, a explicat unul dintre cercetători.
Prin utilizarea API-ului declarativeNetRequest, extensia putea injecta cod arbitrar, exploatând astfel capacitățile extinse atașate de browser acestei componente. Extensiile cu permisiuni aparent banale puteau, prin urmare, influența noul panou Gemini. Un astfel de atac ar fi putut permite accesul la cameră și microfon fără consimțământul utilizatorului, realizarea de capturi de ecran ale site-urilor și accesarea fișierelor și directoarelor locale. Aceasta ilustrează o problemă clară de separare a privilegiilor, vulnerabilitatea afectând direct componentele interne ale browserului.
Implicațiile integrării AI și măsurile de protecție
Principalul risc derivă din extinderea rolului browserului, care devine tot mai mult un „mediu activ”. Funcțiile AI sunt concepute pentru a accesa și procesa informații, dar acest lucru le face, în același timp, ținte atractive pentru atacatori. „Cu cât are acces mai mare, cu atât devine mai atractiv pentru atacatori”, au subliniat cercetătorii. O breșă de securitate într-o componentă AI integrată nu mai este minoră, ci devine un punct de escaladare a privilegiilor.
Pentru a se proteja, utilizatorii trebuie să se asigure că au instalată cea mai recentă versiune a Chrome. Upgrade-ul browserului nu este singura măsură de precauție necesară. „Cazul arată încă o dată cât de periculoase pot fi extensiile instalate fără atenție”, avertizează specialiștii. Atenția sporită asupra sursei extensiilor, a recenziilor și a actualizărilor este esențială.
Google a lansat deja un patch pentru a remedia această vulnerabilitate, cu versiunile afectate fiind 143.0.7499.192/.193 pentru Windows și Mac, și 143.0.7499.192 pentru Linux.
