Древняя уязвимость, позволявшая хакерам просматривать историю браузера, исправлена в Chrome.

Функция пользовательского интерфейса, предназначенная для помощи пользователям в определении ранее посещенных ссылок, может быть использована злоумышленниками. На протяжении многих лет предпринималось несколько попыток исправить эту уязвимость. Компания Google утверждает, что следующая версия Chrome наконец-то решает эту проблему.

Google наконец-то устраняет уязвимость в Chrome, которая присутствует с момента его создания и может быть использована для слежки за привычками пользователей в интернете. В публикации в блоге в начале апреля Кира Сиверс (Kyra Seevers) из Google объяснила, что когда пользователь нажимает на ссылку, отображаемую на веб-странице, она меняет цвет с синего на фиолетовый. Эта разработка была направлена на улучшение пользовательского опыта и упрощение навигации по сети. Изменение состояния обрабатывается с помощью CSS. Однако злоумышленники нашли различные способы использования этой функции пользовательского интерфейса для слежки за привычками пользователей в интернете. Например, вредоносный веб-сайт может содержать тысячи ссылок на популярные веб-сайты, но стилизовать их таким образом, чтобы посетители их не видели. Затем сайт использует JavaScript или CSS для проверки того, какие из этих ссылок должны отображаться в фиолетововом цвете, фактически узнавая, какие сайты уже посетил пользователь.

Chrome 136 приходит на помощь.

Оказывается, проблема не ограничивается Chrome, а присутствует в большинстве современных браузёров. Фактически, проблема предшествует браузеру Chrome, который был впервые представлен в 2008 году. "Эти атаки могут раскрыть, какие ссылки посетил пользователь, и привести к утечке данных о его активности в интернете", - объяснила Сиверс. "Эта проблема безопасности преследует сеть более 20 лет, и браузеры использовали различные временные решения для смягчения этих атак, основанных на истории просмотров. Хотя эти меры замедляют атаки, они не устраняют их". Однако следующая версия браузера, Chrome 136, предположительно, сделает эти атаки невозможными. Это достигается путем разделения истории посещенных ссылок (:visited link history), дополнительно заявила Сиверс.

Chrome 136 запланирован к выпуску в конце апреля 2025 года.