當(dāng)前位置:
  1. 首頁
  2. 業(yè)界資訊

谷歌Chrome瀏覽器被披露高危漏洞,可監(jiān)控用戶/竊取敏感文件

ice 業(yè)界資訊

2026年3月2日,Palo Alto Networks旗下Unit 42安全研究團(tuán)隊(duì)發(fā)布報(bào)告,披露了谷歌Chrome瀏覽器中的一個(gè)高危安全漏洞,追蹤編號(hào)為CVE-2026-0628,CVSS v3評(píng)分高達(dá)8.8分,屬于高危級(jí)別。

該漏洞允許僅擁有基本權(quán)限的惡意Chrome擴(kuò)展程序劫持瀏覽器內(nèi)置的Gemini Live AI面板,從而非法獲取原本被嚴(yán)格限制的系統(tǒng)級(jí)權(quán)限,包括訪問攝像頭、麥克風(fēng)、讀取本地文件、截取屏幕截圖等高危操作。

漏洞原因

漏洞的根本原因在于Chrome瀏覽器處理declarativeNetRequest API的方式存在關(guān)鍵缺陷。

這是一個(gè)標(biāo)準(zhǔn)的瀏覽器擴(kuò)展權(quán)限,允許擴(kuò)展攔截和修改HTTPS網(wǎng)絡(luò)請(qǐng)求與響應(yīng),廣泛用于廣告攔截等合法用途。

研究人員發(fā)現(xiàn)了一個(gè)關(guān)鍵差異:當(dāng)gemini.google.com/app這個(gè)URL在普通瀏覽器標(biāo)簽頁中加載時(shí),擴(kuò)展可以攔截并向其注入JavaScript,但這不會(huì)授予任何特殊權(quán)限;而當(dāng)同一URL在Gemini瀏覽器面板中加載時(shí),Chrome會(huì)以提升的瀏覽器級(jí)權(quán)限處理它。

利用這種不一致性,僅具有基本權(quán)限的惡意擴(kuò)展即可向特權(quán)Gemini面板注入任意JavaScript代碼,從而劫持受信任的瀏覽器組件并繼承其所有提升的訪問權(quán)限。

Unit 42研究員Gal Weizman指出:“通過declarativeNetRequest API獲得基本權(quán)限集的擴(kuò)展,其所獲的權(quán)限可能使攻擊者能夠向新的Gemini面板注入JavaScript代碼。當(dāng)Gemini應(yīng)用在這個(gè)新面板組件中加載時(shí),Chrome會(huì)將其與強(qiáng)大的功能接口相連接,使其能夠訪問這些功能。”

AI集成帶來的安全邊界模糊

Gemini AI于2025年9月正式集成至Chrome瀏覽器,作為多模態(tài)AI助手,它需要獲取對(duì)瀏覽器環(huán)境的特權(quán)訪問才能執(zhí)行多步驟操作。這種設(shè)計(jì)雖然提供了便利功能,但也無意中開辟了新的攻擊面。

研究人員指出:“通過將這一新組件置于瀏覽器的高特權(quán)上下文中,開發(fā)者可能在無意中創(chuàng)造了新的邏輯缺陷和實(shí)施弱點(diǎn)?!?/p>

攻擊鏈完整還原

基于已披露的技術(shù)細(xì)節(jié),CVE-2026-0628的攻擊路徑可還原如下:

誘導(dǎo)安裝:攻擊者通過釣魚郵件、惡意廣告或社交工程手段,誘導(dǎo)受害者安裝偽裝成正常工具(如天氣插件、PDF閱讀器等)的惡意Chrome擴(kuò)展。

權(quán)限獲?。?/strong>該惡意擴(kuò)展僅需申請(qǐng)基本的瀏覽器權(quán)限(如讀取網(wǎng)頁內(nèi)容),便可在后臺(tái)靜默運(yùn)行。

注入攻擊:利用WebView標(biāo)簽的策略執(zhí)行缺陷,惡意擴(kuò)展向Gemini Panel的WebView上下文注入特制腳本或HTML負(fù)載。

特權(quán)劫持:注入的代碼在gemini.google.com/app這一高特權(quán)域中執(zhí)行,獲得與Gemini AI同等的系統(tǒng)訪問能力。

惡意操作執(zhí)行:攻擊者此時(shí)可執(zhí)行多種高危操作。

CVE-2026-0628漏洞的出現(xiàn)為整個(gè)瀏覽器安全生態(tài)敲響了警鐘。隨著AI能力被深度嵌入瀏覽器的核心架構(gòu),傳統(tǒng)的擴(kuò)展權(quán)限模型和同源策略是否足以應(yīng)對(duì)新型攻擊向量,這已成為一個(gè)關(guān)乎未來Web安全的戰(zhàn)略性命題。

分析公司Gartner此前就曾建議大多數(shù)組織避免使用所謂的“智能體”瀏覽器,認(rèn)為具有深度系統(tǒng)鉤子的AI驅(qū)動(dòng)自動(dòng)化所帶來的風(fēng)險(xiǎn)超過了許多企業(yè)的生產(chǎn)力收益。

這一事件也印證了攻擊者已經(jīng)在工具中試驗(yàn)生成式AI的新證據(jù)。

今年2月,研究人員詳細(xì)描述了Android惡意軟件在運(yùn)行時(shí)調(diào)用谷歌Gemini模型來幫助解讀屏幕截圖并自動(dòng)化設(shè)備操作,顯示犯罪分子與軟件供應(yīng)商一樣熱衷于將AI集成到系統(tǒng)的敏感部分。

CVE-2026-0628漏洞的披露標(biāo)志著AI與瀏覽器深度融合帶來的新型安全挑戰(zhàn)。當(dāng)便利性與安全性需要權(quán)衡時(shí),安全意識(shí)本身就是最好的防火墻。無論是安全從業(yè)者還是普通用戶,及時(shí)升級(jí)Chrome、審慎管理擴(kuò)展權(quán)限,都是對(duì)這道“AI安全考題”的務(wù)實(shí)回應(yīng)。

免責(zé)聲明:本文部分文字、圖片、音視頻來源于公安部網(wǎng)安局博客、網(wǎng)絡(luò)、AI,不代表本站觀點(diǎn),版權(quán)歸版權(quán)所有人所有。本文無意侵犯媒體或個(gè)人知識(shí)產(chǎn)權(quán),如有異議請(qǐng)與我們聯(lián)系。