В конце 2022 года независимый исследователь Lyra Rebane обнаружил в Chromium способ незаметно для пользователя превратить любой браузер на этом движке в постоянный узел JavaScript-ботнета. Атака опирается на механизм фоновой загрузки Background Fetch и удерживает соединение с управляющим сервером даже после закрытия браузера. О проблеме сообщили Google приватно, ей присвоили класс серьёзности S1, однако за 29 месяцев исправления так и не вышло. 20 мая 2026 года Google по ошибке открыла отчёт вместе с готовым кодом эксплойта в публичном баг-трекере Chromium, после чего материал разошёлся по архивам.
Как фоновая загрузка превращается в канал управления
В основе уязвимости лежит Background Fetch — веб-стандарт для скачивания крупных файлов в фоне. Он позволяет продолжать загрузку видео или больших файлов после того, как пользователь закрыл вкладку, и привязан к зарегистрированному на сайте сервис-воркеру (service worker). Согласно отчёту в баг-трекере Chromium, тот же механизм пригоден для долгоживущего соединения между браузером и удалённым сервером.
Готовый код эксплойта открывает через Background Fetch сервис-воркер, который остаётся постоянно активным. Запустить его удалённо позволяет обычный JavaScript на странице, и в результате браузер становится частью ограниченного ботнета. Действия атакующего ограничены рамками самого браузера: открывать сайты, работать анонимным прокси для чужого трафика, участвовать в распределённых атаках на отказ в обслуживании (DDoS) и следить за частью действий пользователя.
Сервис-воркер (service worker) — фоновый скрипт, который браузер запускает отдельно от страницы. Он перехватывает сетевые запросы, кеширует данные и продолжает работать, когда вкладка уже закрыта.
Соединение переживает перезапуск браузера и компьютера
Главная опасность — в незаметности. Эксплойт срабатывает на любом открытом сайте: достаточно зайти на страницу, без скачиваний и подтверждений. В зависимости от браузера соединение либо открывается заново, либо сохраняется даже после перезагрузки самого браузера или всего устройства. В Microsoft Edge посторонней активности не видно вовсе.
По словам Rebane, риск кроется не в одном устройстве, а в масштабе: собрав тысячи или миллионы браузеров в единую сеть, атакующий сможет позднее выполнить на них произвольный код, как только найдёт для этого отдельную уязвимость. Прямого доступа к файлам, паролям или письмам атака не даёт, но оставляет постоянный плацдарм внутри браузера.
Класс S1 и 29 месяцев без исправления
В переписке по отчёту двое разработчиков Chromium независимо назвали находку серьёзной уязвимостью. Проблеме присвоили класс серьёзности S1 — вторую по тяжести категорию в классификации Google. Несмотря на это, исправление не дошло до пользователей за 29 месяцев с момента обращения.
До 20 мая 2026 года об уязвимости знали только разработчики Chromium. Утром того же дня отчёт вместе с кодом эксплойта оказался в публичном баг-трекере. Сначала Rebane принял публикацию за признак исправления, но вскоре выяснилось, что патча нет. Запись из трекера убрали, однако к тому моменту материал уже сохранился на архивных площадках. На запрос о причинах публикации и сроках исправления в Google не ответили.
Под угрозой почти все браузеры, кроме Firefox и Safari
Chromium лежит в основе не только Google Chrome и Microsoft Edge, но и подавляющего большинства современных браузеров. Вне зоны риска остаются движки, не основанные на Chromium, — прежде всего Firefox и Safari. Распознать заражение тяжело: в Edge может ненадолго всплыть уведомление о загрузке без самого файла, в Chrome поведение похожее, но предупреждение исчезает после первого раза. Большинство пользователей примут такой сигнал за случайный сбой.
Что делать пользователям
Подтверждённого исправления пока нет, сроки выхода патча Google не назвала. Пользователи остаются в неудобном положении: серьёзная уязвимость известна, а реальных мер защиты почти нет. До выхода патча помогает осторожность с сомнительными сайтами и незнакомыми ссылками. Тем, кому важна изоляция от этого класса атак, стоит присмотреться к браузеру не на движке Chromium.