Attenzione a questa falla di sicurezza di Google se navigate in Internet

Da fine 2022 i browser costruiti sulla base del codice del progetto Chromium di Google presentano un'importante falla di sicurezza. Una notizia, questa, già di per sé allarmante se si considera che in tutto questo tempo il problema non è ancora stato risolto. Le brutte notizie, tuttavia, non finiscono qua. Già perché Google, involontariamente, ha anche pubblicato codici che permettono di sfruttare questa falla di sicurezza. Resasi conto dell'errore, l'azienda californiana ha subito eliminato le informazioni dalle sue pagine. I dati sensibili, tuttavia, continuano a circolare su Internet, spiega Watson.

Nonostante Google si sia affrettata a cancellare le informazioni sensibili dalle proprie pagine, non è ancora dato sapere quando invece correggerà la falla che gli sviluppatori classificano come «grave».

Ma quali sono i browser interessati dal problema? Come scritto in precedenza, quelli basati sul progetto Chromium di Google. Nel dettaglio, si tratta di Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc.

Il codice per sfruttare la vulnerabilità è stato pubblicato da Google mercoledì 20 maggio 2026, spiega il sito specializzato Ars Technica.

La vulnerabilità risiede in un componente del browser utilizzato per scaricare in background file di grandi dimensioni. I malintenzionati potrebbero sfruttare questa vulnerabilità per installare programmi malevoli su computer di terzi tramite un sito web manipolato. Questi programmi malevoli continuerebbero poi a funzionare in background, anche una volta che si è chiuso il browser. Addirittura, su alcuni sistemi i programmi malevoli resterebbero attivi anche dopo il riavvio completo dell'apparecchio utilizzato per navigare in Internet.

A questo punto è importante capire perché eventuali pirati informatici potrebbero essere interessati a sfruttare questa falla. I malviventi potrebbero integrare gli apparecchi infettati a reti anonime in modo tale da poter lanciare in maniera coordinata attacchi DDoS (ovvero attacchi che consistono a saturare un server, un sito web o una rete), inviare spam e propagare malware.

Un'altra ragione per cui ai pirati informatici potrebbe interessare la falla è che permette loro di sorvegliare i comportamenti di navigazione degli utenti i cui apparecchi sono stati infettati.

Ad ogni modo, i dati personali degli utenti non dovrebbero essere a rischio, tutt'al più si potrebbe verificare una sensibile perdita di performance dell'apparecchio che si utilizza per navigare in rete.

La ricercatrice in sicurezza Lyra Rebane, che per prima ha scoperto la vulnerabilità segnalandola in via confidenziale a Google nel dicembre 2022, ha dichiarato ad Ars Technica che sfruttare il codice pubblicato è «abbastanza semplice». Ha invece descritto la creazione di una rete di computer infettati collegati tra loro come più complessa, ma non impossibile.

Rebane è anche stata la prima a scoprire che, la settimana scorsa, Google aveva reso pubblica la falla, supponendo che quindi l'avesse nel frattempo corretta. Non ha però impiegato molto tempo a capire che, in realtà, non è così. 

I maggiori problemi riguardano gli utilizzatori di Microsoft Edge. Nella versione attuale del browser, infatti, lo sfruttamento della vulnerabilità non mostrerebbe alcun segno visibile, come un pop-up di download o un messaggio di errore.

Insomma, se si vuole andare sul sicuro conviene utilizzare browser basati su un'altra tecnologia, come Safari di Apple o Firefox di Mozzilla.