El ecosistema de navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Brave, Opera o Vivaldi, vuelve a estar en el centro de la polémica tras un fallo de seguridad que ha tardado más de dos años en resolverse y que ahora se ha agravado por un error inesperado de Google.
Según la información disponible, Google publicó por accidente el código de un exploit relacionado con una vulnerabilidad reportada a finales de 2022, todavía sin parche definitivo tras 29 meses. La falla, clasificada internamente como S1, una de las categorías de severidad más altas, afecta al sistema Background Fetch API, un mecanismo diseñado para continuar descargas incluso cuando la pestaña o el navegador se cierran.
Este sistema, documentado en fuentes como MDN Web Docs y materiales oficiales de Google, permite que las transferencias de datos sigan activas en segundo plano. Sin embargo, la investigadora Lyra Rebane demostró que también puede ser utilizado para mantener conexiones persistentes con servidores controlados por atacantes. En ciertos escenarios, incluso una simple visita a una página preparada podría ser suficiente para activar el comportamiento malicioso.
Las implicaciones no son de ejecución remota directa de código, pero sí lo suficientemente serias como para habilitar usos como proxys anónimos, participación involuntaria en ataques DDoS o filtración de actividad del usuario sin su conocimiento. Debido al alcance del ecosistema Chromium, el impacto potencial se amplifica a cientos de millones de dispositivos.
El problema se agrava por dos factores adicionales: la larga ausencia de una solución efectiva durante más de dos años y la publicación accidental del código PoC del exploit por parte de Google, lo que podría facilitar su explotación por terceros. Según el medio Ars Technica, la vulnerabilidad permaneció sin resolver durante todo ese tiempo a pesar de su alta prioridad interna.
Aunque no se trata de una brecha que comprometa completamente el sistema del usuario, el caso reabre el debate sobre la dependencia global del motor Chromium y cómo un único fallo puede extenderse a la mayoría del mercado de navegadores. Mientras llega una actualización definitiva, la única mitigación real para los usuarios pasa por la prudencia al visitar sitios desconocidos.
El episodio deja una conclusión incómoda para la industria: la combinación de retrasos en la corrección y errores de divulgación puede erosionar seriamente la confianza en los procesos de seguridad incluso sin un ataque masivo en curso.
Fuente: Chrome for Developers, Android Authority, Ars Technica, MDN Web Docs
