Chrome/Edge 背景下載漏洞:香港用家點樣判斷風險同自保
3C 產品

Chrome/Edge 背景下載漏洞:香港用家點樣判斷風險同自保

圖片:via Android Authority — https://www.androidauthority.com/chromium-browser-vulnerability-3669581/
TechLab 編輯部(譯)·

未見官方清楚列出修補,重點係更新、留意異常下載提示同分散風險

Chrome/Edge 背景下載漏洞:香港用家點樣判斷風險同自保

圖:Android Authority.原文連結

如果平時網上銀行、公司系統、學校平台、政府電子服務全部都靠瀏覽器登入,今次 Chromium 漏洞就唔係純粹開發者圈內新聞。外媒報道同研究員披露指,一個惡意網站有機會借用 Chromium 背景下載相關機制,令瀏覽器喺用家離開頁面之後仍然維持連線。重點唔係一開網頁就會即刻被偷密碼,亦唔應該講到等同整部電腦失守;比較準確嘅風險係,瀏覽器可能被拉入一個有限度 botnet 或代理網絡,幫攻擊者轉發流量、探測網站,甚至參與 DDoS 類活動。

事件之所以值得本地用家留意,係因為受影響範圍跟住 Chromium 生態走。Google Chrome、Microsoft Edge 係最明顯目標,外媒亦點名 Brave、Opera、Vivaldi、Arc 等 Chromium-based browser 要小心;香港市場上 Chrome 本身已經係主流,StatCounter 2026 年 4 月數字顯示,Chrome 佔香港整體 browser share 約 69.26%,Edge 約 5.94%。換言之,呢類底層瀏覽器漏洞唔係少數玩家先會遇到,而係足以影響大部分日常上網流程。

發生咩事

獨立保安研究員 Lyra Rebane 表示,早喺 2022 年已經向 Google 私下匯報相關問題。根據 Ars Technica 及 Android Authority 報道,Chromium 團隊內部曾將事件視為嚴重漏洞,並標示為 S1,即 Google 內部第二高嚴重級別。2026 年 5 月 20 日,相關 Chromium issue 一度變成公開,連 proof-of-concept 概念驗證程式碼都被外界見到;之後該 issue 又再改回 private。呢個過程令問題由原本只係內部已知,突然變成攻擊者可能可以研究嘅公開材料。

截至 2026 年 5 月 21 日查核,Google 官方 Chrome Releases 同 Microsoft Edge Security Updates 未見用 Browser Fetch、Background Fetch 或上述 issue ID 清楚標示一個已落地修補;Chromium issue 本身又已經需要登入或權限先可睇到詳情,所以外界暫時難以獨立確認正式修補狀態。Chrome 喺 5 月 20 日已開始推 149 early stable,Edge 亦喺 5 月 20 日列出 148.0.3967.70 更新,但官方說明主要係一般 Chromium security updates,未足以當成今次漏洞已完全處理嘅證據。實務上應該當成「即刻更新,但仍要留意後續官方 advisory」。

背景下載點解會變成風險

今次核心牽涉 Browser Fetch 或 Background Fetch 類背景下載能力。正常設計係方便網站或 PWA 處理大型下載,例如長影片、podcast、離線內容,唔需要頁面一直開住先完成。MDN 同 Chrome 開發文件都提到,Background Fetch 會同 service worker 配合,將大型下載交畀 browser engine 喺背景處理;Chrome DevTools 亦有專門 background services 面板去觀察 background fetch、background sync、notifications 等事件。呢類功能本身唔係惡意,問題係一旦權限、生命週期同使用者提示處理得唔夠嚴,背景能力就可能被濫用。

Service worker 可以理解成網站同伺服器之間嘅背景代理,用嚟做離線快取、同步、推送同網上請求管理。對正常網站嚟講,呢個設計令 PWA 更接近原生 app;對攻擊者嚟講,如果漏洞令惡意頁面可以無需明顯互動就建立長期連線,瀏覽器就可能變成一個低權限但數量龐大嘅節點。佢做唔到任意讀取你電腦檔案咁誇張,但可以做瀏覽器本身做得到嘅事,例如連去某啲網址、轉發流量、保留部分活動訊號。呢種「能力有限但部署容易」先係風險所在。

要特別釐清一點:研究員喺社交平台用過 js rce 呢類強烈字眼,但安全判斷要睇實際能力邊界。從目前公開資訊睇,PoC 主要證明瀏覽器可被維持喺攻擊者控制嘅 JavaScript/網上連線流程入面,未有可靠證據顯示佢可以直接偷取密碼庫、讀取本機檔案,或者繞過整個作業系統沙箱。危險之處係 persistence 同規模:如果惡意網站足夠多人開過,攻擊者就可能攞到好多部機嘅瀏覽器連線資源,之後再等另一個漏洞配合使用。

唔同瀏覽器嘅差異

Chromium-based browser 要放喺同一個風險籃入面處理,但唔代表每個產品表現完全一樣。Android Authority 引述研究員說法指,Edge 可能只係短暫或者完全唔顯示下載相關提示;Chrome 有時會見到類似 downloads drop-down,但提示可能只出現一次,之後好易被用家當成介面小問題。Brave、Opera、Vivaldi、Arc 等因為共用 Chromium 底層,同樣要等待各自廠商整合上游修補。Samsung Internet 等 Android browser 亦建基於 Chromium/Blink 生態,但今次公開資料未見逐一測試確認,保守做法係一樣保持最新版本。

Firefox 同 Safari 嘅角色反而係臨時分散風險,而唔係「永遠安全」。外媒指兩者未受呢條 Browser Fetch 路徑影響,原因係唔支援相關背景下載 feature 或實作唔同;MDN 亦將 Background Fetch 標為 limited availability、experimental,唔係所有主流 browser 都有。對需要即日處理網上銀行、公司後台、醫療或政府電子服務嘅用家,如果公司政策容許,短期用 Firefox 或 Safari 處理高信任度流程,係一個合理降風險方法。不過兩者一樣有自己安全更新節奏,唔應該長期停喺舊版。

香港用家即刻可以做咩

最實際第一步係更新同重啟。Chrome、Edge、Brave、Opera、Vivaldi、Arc 都要入 About 頁面檢查版本,等 browser 完成下載更新後手動 relaunch;手機就經 App Store 或 Google Play 更新。單純見到版本數字變新唔等於今次漏洞一定已修,但舊版肯定更差。完成更新之後,如果近期曾經開過不明連結,又見到無原因嘅下載提示、下載選單閃一閃但冇檔案、瀏覽器關閉後仍有異常網上流量或耗電,可以先清除可疑網站嘅 site data、移除唔識嘅 extension/PWA,再做一次完整重啟。

可以用以下做法作為短期安全基線:

  • 將主要 Chromium browser 更新到最新穩定版,更新後一定重啟 browser。
  • 對不明連結、短網址、論壇附件、即時通訊轉發連結保持保守,尤其係聲稱要開網頁先睇內容嘅連結。
  • 若見到無原因 downloads drop-down 或背景下載提示,記低時間同網站,清走該網站資料,再暫時避免重訪。
  • 網上銀行、公司 SSO、政府電子服務等高信任流程,可短期改用已更新嘅 Firefox 或 Safari,直到 Chromium 廠商有更清楚公告。
  • 唔好自行上網搵 PoC 或測試頁面,因為呢類頁面本身可能已經被二次包裝成真正攻擊。

香港網上銀行安全指引本身都一直叫用家保持作業系統、網上銀行 app 同瀏覽器係最新版本,避免開可疑網站、可疑附件同訊息連結。今次事件將呢啲老生常談變得更具體:有啲 browser 風險唔需要你下載 exe、批准權限,甚至未必有明顯彈窗。對普通用家嚟講,最容易執行嘅策略唔係逐個 service worker 研究,而係保持自動更新、少用主瀏覽器處理陌生網站、將高風險瀏覽同高信任登入分開。

公司 IT 同 BYOD 要補返嘅洞

公司環境更加唔應該只靠一句「唔好開古怪網站」。Edge 同 Chrome 通常同 M365、Google Workspace、網銀企業戶口、HR 系統、CRM、學校 LMS 綁埋一齊,BYOD 又令 IT team 未必完全掌握版本。今次漏洞嘅麻煩係,受害端未必有惡意檔案落地,傳統 antivirus 未必容易睇到;要靠 browser inventory、版本合規、強制 relaunch、DNS/proxy 記錄同 EDR 網上連線行為一齊判斷。最少要確保 managed browser policy 可以強制更新期限,舊版超過指定日數就阻止存取內部系統。

另一個要補嘅位係 browser 多元化同 fallback policy。好多公司多年來用「只支援 Chrome」簡化測試,結果一旦 Chromium 底層出事,Edge、Chrome、Brave 其實可能同時中招。高風險部門例如財務、人事、法務同 IT admin,應該有一個已測試嘅非 Chromium 後備瀏覽器清單,至少確保銀行、MFA、SSO、內部 ticketing、雲端 console 喺 Firefox 或 Safari 有基本可用性。呢個唔係叫公司放棄 Chromium,而係避免所有身份驗證同管理入口都押晒喺同一個 engine 上。

點睇

今次事件最值得反省嘅,唔係某個功能應唔應該存在,而係現代 browser 已經大到似半個作業平台。背景下載、service worker、PWA、push、離線快取,本來都係為咗令網頁更似 app;但每加一層背景能力,就要有更清楚嘅可見性、取消方法同修補節奏。對香港用家同公司 IT team 嚟講,短期答案係更新、分流高風險瀏覽、留意異常下載提示;中期答案係重新檢查 browser 管理,唔好等下一次 Chromium 底層事件先發現所有重要流程都無後備路。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook