三年前的一份漏洞报告至今仍在浏览器安全圈投下阴影。独立安全研究员Lyra Rebane向Chromium项目提交的一个高危缺陷经历了漫长的沉默期后近期因报告意外公开而再度引发关注。令人意外的是这个本应在早期阶段就被掐灭的隐患至今仍未获得彻底根治。Chromium作为Chrome、Edge、Opera等主流浏览器的底层引擎全球装机量数以十亿计。如此庞大的用户基数面前任何一个可被利用的持久化漏洞都绝非小事。Rebane发现的问题恰恰踩在了这条红线上——攻击者能够借助Service Worker与后台获取API的组合拳在浏览器重启后依然维持JavaScript代码的执行能力。要理解这个漏洞的狡猾之处得先聊聊Service Worker的设计初衷。这个诞生于2018年前后的技术本意是为了让网页在离线状态下也能正常工作同时支持后台下载等便利功能。谷歌当初在推广后台获取API时曾明确表态下载过程对用户完全透明随时可以中止Service Worker不会持续运行因此不存在被滥用于后台挖矿之类的风险。然而Rebane的测试结论直接推翻了上述保证。她在不同平台和Chromium衍生浏览器上反复验证后发现现实情况远比官方描述复杂得多。以Chrome为例2022年12月的稳定版中后台下载好歹还会在进度条里露个脸可到了采用新界面的Canary版本下载信息卡死在0字节来源域名更是无从查证。Edge浏览器的表现同样堪忧——下载下拉菜单空空如也最新版本里后台任务几乎完全隐身即便用户已经关闭了浏览器窗口数据抓取仍在暗处继续。问题的核心在于Service Worker的生命周期管理出现了漏洞。正常情况下这个后台脚本运行一段时间就该被系统终止以节省资源并防止滥用。Rebane在报告中详细披露了她的绕过手法每二十秒快速创建并立即中止一次后台数据获取请求。由于操作速度极快浏览器UI根本来不及渲染任何提示但Service Worker却被这种高频心跳维持在了激活状态。这种幽灵式存活带来了相当可观的攻击面。恶意网站一旦成功植入持久化的Service Worker便能在用户毫不知情的情况下持续收集敏感信息——浏览器启动时间戳、IP地址、User-Agent字符串统统唾手可得。更棘手的是它还能充当远程JavaScript载荷的投递渠道为后续渗透留下后门。从实际危害来看这类持久化脚本的作恶手段相当多样。它们可以被动员起来对特定目标发起分布式拒绝服务攻击把成千上万台普通用户的机器变成流量洪流的组成部分。加密货币挖矿同样是热门选项WebAssembly载荷能够在后台悄然消耗CPU资源而用户只会觉得电脑莫名其妙变卡。侧信道攻击、未来漏洞的预置利用等高级威胁也都可以通过这条隐蔽通道实现。回溯漏洞的修复历程Chromium团队并非完全无动于衷。公开的错误跟踪记录显示UI层面的显示问题大约在2023年初得到了处理。但这只是治标。想要真正堵住Service Worker被无限期续命的口子必须动到API规范的根基——为Service Worker的退出机制引入硬性时限从协议层面剥夺攻击者反复刷新的操作空间。Rebane本周在Mastodon上的表态给关注此事的人泼了一盆冷水漏洞报告虽然经历了公开又关闭的波折但根本性的修复至今没有落地。原始技术条目已被设为私有不过网络存档中仍能找到完整副本这意味着潜在攻击者同样有机会研读其中的每一个细节。对于普通用户而言在官方彻底修补之前保持警惕是眼下最现实的防御。留意浏览器的异常资源占用定期检查后台进程对来源不明的网站保持戒心——这些老生常谈的建议在这个特定场景下反而格外有效。毕竟当恶意代码能够穿越浏览器重启的边界继续潜伏任何一点疏忽都可能成为对手持续驻留的跳板。浏览器安全从来就没有一劳永逸的解决方案。一个三年前的漏洞报告至今仍在提醒我们便利性与安全性之间的平衡远比想象中更难把握。
