Chrome è nato con il peccato originale. A pochissime ore dal lancio, infatti, il browser è già stato colto in fallo con una vulnerabilità grave e tale da aprire le porte ad un possibile attacco di massa. Le circostanze sono infatti le peggiori: la vulnerabilità è nota da tempo, il che presuppone sufficiente esperienza nelle mani di eventuali malintenzionati; il browser è novello e l’abitudine all’uso non è ancora tale da garantire una sufficiente protezione “psicologica” di fronte ad un eventuale mascherato attacco; il browser è promosso fin dalla homepage di Google, il che indica la possibilità di un download di massa fin dalla prima ora.
Così come in giugno Microsoft avvertì la propria utenza dei pericoli insiti in Safari, è presumibile ora che Microsoft possa intervenire per richiamare l’attenzione sui pericoli di Chrome. La vulnerabilità, infatti, è esattamente la stessa, derivante dalla vecchia versione di Webkit su cui tanto Safari quanto Chrome sono basati. Safari in seguito ha risolto il proprio problema, mentre per Chrome la “via crucis” inizia solo oggi (le varie settimane di vantaggio costituiscono però una sicura aggravante). La vulnerabilità, infatti, era nota da mesi e sarebbe stata sicuramente cosa opportuna anteporre la risoluzione del baco alla distribuzione del primo installer.
«L’attacco può essere portato a termine portando l’utente a visitare un sito web che possa avviare il download maligno e l’esecuzione successiva»: dicesi “carpet bombing”, vulnerabilità scoperta in Safari da Nitesh Dhanjani e riscoperta in Chrome da parte di Aviv Raff il quale ha portato online anche un proof-of-concept dimostrativo. L’elemento in comune tra il vecchio Safari ed il nuovo Chrome è il WebKit 525.13, modulo corretto in Safari a partire dalla versione 3.1.2.
Il quadro che si delinea è quello di un attacco silente in grado di sfruttare Chrome per creare sul desktop una icona in grado di fungere da applicazione (nel modello di Gmail, ad esempio, che al click viene aperto su Chrome). L’icona può fungere a questo punto da richiamo per l’utente il quale, ignaro, aprirà il browser su un sito maligno in grado di installare malware sul sistema. Secondo quanto indicato nella licenza EULA del browser Google, comunque, l’aggiornamento risolutivo sarà presumibilmente automatico, lanciato da remoto, il che potrebbe non richiedere tempistiche eccessivamente lunghe. Nel frattempo, però, milioni di curiosi si trovano sul pc un pericoloso veicolo di malware che nasconde dietro la dicitura “beta” tutti i difetti di gioventù della prima avventura browser di Mountain View.