Spyware zamiast przeglądarki. Krytyczna luka w Chromium

Paweł Makowiec 04.06.2025 16:25

Czego potrzebują hakerzy do obserwowania aktywności na przejętym komputerze? Okazuje się, że do szpiegowania wystarczy im... przeglądarka oparta na Chromium oraz kilka komend.
Autor. Shutterstock

Czy do monitorowania działalności internautów potrzebne jest zakupienie specjalnego spyware? Okazuje się, że to sposób, który nie kosztuje ani grosza. Co więcej, znajduje się na większości komputerów na świecie. Mowa bowiem o… przeglądarkach opartych na Chromium.

Od wielu lat można usłyszeć ostrzeżenia przed złośliwym oprogramowaniem, które ma na celu podglądanie działalności internautów. Cyberprzestępcy działają zarówno w sferze mobilnej, jak i stacjonarnej.

Na naszych łamach przedstawialiśmy pomysł, na jaki wpadli północnokoreańscy hakerzy, podszywający się pod pożyteczne programy na Androida. Odpowiednie funkcje pozwalające na podglądanie użytkowników były również ukryte w złośliwych aplikacjach na komputery.

Reklama

Pułapka w oparciu o JavaScript

Tymczasem jak wskazują ustalenia eksperta cyberbezpieczeństwa mr.d0x, cytowanego przez Cybernews, nie są potrzebne żadne specjalne programy, aby monitorować aktywność użytkownika. Do tego celu cyberprzestępca może bowiem wykorzystać przeglądarkę opartą o Chromium.

Jak konkretnie to działa? Atakujący uruchamia na przejętym sprzęcie Chrome, Edge, Brave lub Operę w trybie bez interfejsu graficznego (headless mode) lub w bardzo małym oknie, niewidocznym dla użytkownika. Następnie wchodzi na specjalnie przygotowaną stronę, która zawiera szkodliwy kod JavaScript umożliwiający mu prowadzenie działań szpiegowskich.

Czytaj też

Microsoft otwiera nowy program. Ściślejsza współpraca z m. in. Polską

Reklama

Podglądanie monitora i kamery

W tym punkcie haker, korzystając z wbudowanej w Chromium opcji włączenia flag, ma dwie możliwości co do dalszych czynności. Pierwszą jest komenda dotycząca przechwytywania ekranu, —auto-select-desktop-capture-source, umożliwiająca wybranie części lub całego monitora do przechwycenia.

Drugą zaś flagą jest automatyczne przechwytywanie obrazu i dźwięku za pomocą mikrofonu i kamerypodłączonych do komputera - —auto-accept-camera-and-microphone-capture. Co ważne, obie opcje są możliwe również wtedy, gdy okno przeglądarki nie jest widoczne.

W końcu, atakujący może zawrzeć w kodzie JavaScript funkcję captureScreenshot, która byłaby wykonywana co kilka sekund. Wykonane w ten sposób zrzuty ekranu zawierające widok ekranu użytkownika lub jego kamery internetowej mogą zostać przekonwertowane do Base64, a następnie przekazane na zewnętrzny serwer należący do aktora zagrożeń.

Czytaj też

Wnioski OBWE ws. wyborów w Polsce. Jest wątek NASK-u

Reklama

Chrome z aktualizacją

Istotnym elementem jest to, że wszystkie działania wykonywane są bez jakiegokolwiek komunikatu dla użytkownika czy aktywności z jego strony. Nie ma możliwości zauważenia, że jego działania na komputerze są monitorowane. Jedynym wyjątkiem w tym kontekście jest światło przy kamerze internetowej, sygnalizujące aktywność urządzenia.

Co ciekawe, w poniedziałek przed publikacjami eksperta, Google opublikowało aktualizację dla przeglądarki Chrome dotyczącą podatności związanej z silnikiem V8 JavaScript. Opis podany przez The Register wskazuje, że w ramach ataku wykorzystywano specjalnie przygotowaną stronę internetową, zaś hakerzy mieli możliwość „ujawnienia poufnych danych lub wykonania dowolnego kodu”.

Nie wiadomo jednak, czy rzeczywiście jest to ten sam problem, co znaleziony przez mr.d0xa.

Czytaj też

Koniec z OC na kradziony PESEL? Rząd przyjął projekt ustawy

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].