Веб-браузеры для настольных и мобильных устройств, как правило, получают регулярные обновления безопасности, но это часто не относится к браузерам, встроенным в игровые консоли, телевизоры, электронные книги, автомобили и другие устройства. Эти устаревшие встроенные браузеры могут сделать вас уязвимыми для фишинга и других угроз безопасности.
Исследователи из Исследовательского подразделения DistriNet Католического университета Левена в Бельгии обнаружили, что новые устройства могут содержать браузеры, которые устарели на несколько лет и имеют известные уязвимости безопасности.
В научной работе [PDF], представленной на Симпозиуме USENIX по удобной конфиденциальности и безопасности (SOUPS) 2025 в августе, ученые-компьютерщики Гертджан Франкен, Питер Кляйес, Том Ван Гетхем и Ливен Десмет описывают, как они создали краудсорсинговую платформу для оценки браузеров под названием CheckEngine, чтобы преодолеть трудности оценки продуктов с закрытым исходным кодом программного обеспечения и прошивки.
Платформа работает, предоставляя участникам исследования уникальный URL-адрес, который они должны ввести во встроенный браузер оцениваемого устройства. В период тестирования с февраля 2024 года по февраль 2025 года исследователи получили 76 записей, представляющих 53 уникальных продукта и 68 уникальных версий программного обеспечения.
В 24 из 35 представленных на исследование смарт-телевизоров и всех 5 электронных книг встроенные браузеры отставали от актуальных версий, доступных пользователям настольных компьютеров, как минимум на три года. И ситуация схожа даже для недавно выпущенных продуктов.
«Наше исследование показывает, что встроенные браузеры обновляются гораздо реже, чем их автономные аналоги», — заявляют авторы в своей работе. «Тревожно, что многие продукты уже содержат устаревшие браузеры на момент выпуска; фактически, восемь продуктов в нашей выборке включали браузер, который был устаревшим более чем на три года, когда он поступил на рынок».
По данным KU Leuven, исследование выявило, что некоторые производители устройств не предоставляют обновления безопасности для браузера, даже несмотря на рекламу бесплатных обновлений.
Исследователи привели несколько примеров, оценивающих возможность эксплуатации устройств с устаревшими браузерами. Например, электронная книга Boox Note Air 3, выпущенная в январе 2024 года, поставляется с NeoBrowser, основанным на Chromium 85, выпущенном в августе 2020 года.
«Примечательно, что за четыре обновления программного обеспечения встроенный браузер оставался неотлаженным», — заявили исследователи, добавив, что у компании отсутствовал канал сообщения об уязвимостях, а сотрудники службы поддержки неверно представляли информацию о решении проблемы. В результате авторы сообщили об этом в регулирующие органы ЕС.
В декабре 2024 года вступил в силу Закон ЕС о киберустойчивости, начав переходный период до декабря 2027 года, когда поставщики будут полностью обязаны обеспечивать безопасность своей продукции. Исследователи KU Leuven заявляют, что многие из протестированных устройств еще не соответствуют требованиям.
Авторы также изучили игровые приложения, которые включают встроенный браузер: Steam, Ubisoft Connect и AMD Adrenalin.
В предоставленные через платформу CheckEngine записи Steam были включены два браузера на основе Chromium 109 (январь 2023 г.) и один на основе Chromium 126 (июнь 2024 г.). Исследователи заявили, что, хотя они не смогли воспроизвести ни одной из трех известных протестированных уязвимостей, они обнаружили, что могут подменять источник предупреждающих сообщений в более старых версиях.
«Здесь, используя уязвимость открытого перенаправления — ранее обнаруженную для домена Steam — злоумышленник мог создать URL-адрес, который вызывал предупреждающее сообщение, выглядящее так, будто оно исходит от легитимного домена, что полезно для фишинговых атак», — заявили исследователи.
Встроенный браузер Ubisoft Connect, основанный на Chromium 109, также не поддался известным уязвимостям из-за ограничения, которое не позволяло открывать новые вкладки или окна, но авторы обнаружили, что браузер был настроен с флагом –no-sandbox, что повышало риск атак с повышением привилегий.
С AMD Adrenalin исследователи KU Leuven воспроизвели уязвимость подмены адресной строки в браузере на основе Chromium 112 (апрель 2023 г.). AMD, по их словам, признала проблему и работала над ее устранением на момент первоначального представления результатов.
Авторы частично возлагают вину на фреймворки разработки, такие как Electron, которые объединяют браузеры с другими компонентами.
«Мы подозреваем, что в некоторых продуктах эта проблема связана с тем, что пользовательский встроенный браузер интегрирован с другими компонентами пользовательского интерфейса, что затрудняет обновления, — особенно когда он упакован в такие фреймворки, как Electron, где обновление браузера требует обновления всего фреймворка», — заявили они в своей работе. «Это может привести к нарушению зависимостей и увеличению затрат на разработку».
Но в других случаях, по их мнению, проблема возникает из-за невнимательности поставщиков или решения не внедрять необходимые меры безопасности.
Хотя они предлагают такие механизмы, как маркировка продуктов, которая может привлечь внимание потребителей и поставщиков к обновлению встроенных браузеров, они приходят к выводу, что широкое добровольное соблюдение маловероятно, и что регулирование должно заставить поставщиков взять на себя ответственность за безопасность браузеров, которые они встраивают в свои продукты. ®
Автор – Thomas Claburn
