Podobnie jak wszystkie główne aplikacje, Google Chrome ma luki w zabezpieczeniach. W 2022 roku zgłoszono 456 luk (średnio 38 na miesiąc), w tym dziewięć „dni zerowych”. Duża liczba błędów do załatania rodzi proste pytanie, które zadaliśmy w tytule: „Czy korzystanie z Chrome jest bezpieczne?”.
My o Chrome pisaliśmy już wielokrotnie (warto zajrzeć tutaj). Dzisiejszy post opieramy na nowych informacjach, zaczerpniętych od Kevina Towsenda z SecurityWeek. Zwrócił on uwagę, że wysoki wskaźnik ujawnianych luk i łat utrzymuje się w 2023 roku. Do tej pory Chrome załatał: 17 podatności w styczniu, 15 luk w lutym, wersja 111 wyszła z 40 poprawkami 8 marca. Z kolei w kwietniu pojawiła się wersja 112. W tym samym miesiącu wyszła łatka na drugą lukę dnia zerowego w 2023. Chrome 113 załatał 15 luk w zabezpieczeniach w maju, a następnie kolejnych 12 luk. Czerwiec rozpoczął się trzecią łatką dnia zerowego, w przeglądarce Chrome 114, po której pojawiło się kolejnych 5 łat. Sporo?
Lista jest tak długa, że niemal staje się nudna i powtarzalna (jak pisze Towsend) – ale bez wątpienia będzie rosła przez resztę roku i dłużej. Zadawane pytania nie są jednak nudne. Dlaczego jest tak wiele luk w zabezpieczeniach? Czy Chrome jest naprawdę bezpieczny w użyciu? Czy Google robi wszystko, aby produkt był bezpieczniejszy? Co użytkownicy mogą zrobić, aby zwiększyć swoje bezpieczeństwo?
Głównym powodem takiej liczby luk w zabezpieczeniach są w zasadzie tylko statystyki. Jest to połączenie rozmiaru bazy kodu, atrakcyjności celu i liczby osób, które z niego korzystają. „Przez lata Chrome rozrósł się do ogromnej bazy kodów – jest prawie systemem operacyjnym takim jak Windows pod względem wielkości, ponieważ ma tak wiele funkcji pod maską” – czytamy w artykule SecurityWeek.
„Może to wyglądać na proste – myślisz, hej, to tylko aplikacja przeglądarkowa. Ale w praktyce to potwór. Jest to aplikacja, z której ludzie korzystają przez większość czasu, przez większość dnia, zarówno w przedsiębiorstwie, jak i w przestrzeni konsumenckiej. To jest to, czego używamy do większości naszych działań online”.
Im większa baza kodu, tym większa liczba luk w zabezpieczeniach. Taka jest rzeczywistość IT. Im częściej aplikacja jest używana, tym większa liczba atakujących szuka sposobów na jej zhakowanie. Będzie to dotyczyło zarówno przestępców, jak i państw, i jest nieuniknione. Warto zauważyć, że według Statcounter (maj 2023) Chrome miał 62,87% udziału w światowym rynku przeglądarek. Safari było drugie z wynikiem 20,7%, podczas gdy Edge zajął trzecie miejsce z wynikiem zaledwie 5,32%.
Realnie patrząc, nie możemy oczekiwać, że Google zrobi więcej, aby zabezpieczyć swój kod. To znowu jest nieuniknioną cechą życia biznesowego. Google musiałoby zmniejszyć zarówno ilość wprowadzanych nowych funkcji, jak i szybkość, z jaką to robi, a to jest sprzeczne z celem biznesowym, jakim jest zwiększenie udziału w rynku. Warto w tym miejscu podkreślić, że na rynku toczy się teraz pełnoprawna bitwa o najlepszą (czyli najbardziej opłacalną) integrację AI z przeglądarkami. I ten, który tę bitwę wygra, zdominuje IT. Chciałoby się napisać „na dziesięciolecia”, ale faza życia produktów w wirtualnym świecie jest znacznie krótsza.
Microsoft w niektórych obszarach wygrywa albo co najmniej przewodzi. Dotyczy to zwłaszcza przestrzeni korporacyjnej, ale także konsumentów, którzy mają ochotę skorzystać z pakietów Microsoft. Google jest coraz trudniej walczyć i utrzymać pierwsze miejsce w przestrzeni przeglądarek. Musi w tej walce dodawać nowe funkcje i próbuje wprowadzać innowacje jak najszybciej. Kiedy tak działasz, zazwyczaj traktujesz bezpieczeństwo jako kwestię drugorzędną. Nie oznacza to, że Google je zaniedbuje. Zdecydowanie inwestuje w bezpieczeństwo Chrome – ale będzie ono drugorzędne w stosunku do nowych funkcji. Niemniej, zauważa Towsend, Google może być krytykowane. Przede wszystkim za jego reaktywne podejście do bezpieczeństwa Chrome. Polityka polega na wyszukiwaniu (przez własne zespoły badawcze i program bug bounty), a następnie usuwaniu i łataniu luk w zabezpieczeniach, zanim będą mogły zostać wykorzystane przez atakujących.
Jest to raczej podejście reaktywne. Podczas gdy samo Google jest w dużej mierze zmuszone przez realia biznesowe do reagowania na kwestie bezpieczeństwa – a większość firm jest w takiej samej sytuacji – użytkownik może przyjąć bardziej proaktywne podejście.
Nieuchronnie wiąże się to z dodaniem wyprodukowanych przez zewnętrzne organizacje specjalistycznych produktów zabezpieczających dla środowisk stworzonych przez korporacje.
Rodzi to kolejne pytanie – jeśli małe firmy zajmujące się bezpieczeństwem mogą chronić Chrome, dlaczego Google (jeden z największych pracodawców dla programistów na świecie) nie może opracować podobnej ochrony dla własnej przeglądarki? Odpowiedź jest prosta – pewnie by mogli, gdyby chcieli zainwestować w bardzo duże zespoły inżynierskie na wiele lat.
Technicznie jest to możliwe, ale ekonomicznie nieopłacalne. Niewidocznie, niskopoziomowo osadzone złożone kontrole bezpieczeństwa nie kwalifikują się jako „biznesowo atrakcyjne”, więc zawsze będą traktowane jako mniej ważne.
Taka jest rzeczywistość współczesnego cyberbezpieczeństwa. Nie możesz zakładać, że jakakolwiek aplikacja jest bezpieczna ani że dostawca aplikacji zapewni Ci bezpieczeństwo. Wszyscy użytkownicy muszą wziąć na siebie odpowiedzialność za bezpieczeństwo produktów, z których korzystają. Google Chrome to tylko przykład, który wybraliśmy do tej dyskusji – ale zasady będą miały zastosowanie do prawie wszystkich aplikacji komercyjnych.