C’è una differenza sottile tra un errore e un fallimento di processo. Google, con la gestione della vulnerabilità di Browser Fetch, quella differenza l’ha superata da un pezzo.

Il 20 maggio 2026 l’azienda ha reso pubblico un thread del Chromium Issue Tracker, convinta che il problema fosse stato risolto. Non lo era. E in quel thread c’erano dettagli tecnici sufficienti per ricostruire un exploit funzionante. Non un regalo agli hacker, certo, ma un assist involontario sì. E in sicurezza informatica, un assist vale quanto un gol.

La cosa più ironica? A segnalare che la falla era ancora aperta è stata la stessa ricercatrice che l’aveva scoperta quattro anni prima. Un cerchio perfetto, ma non in senso positivo.

Il bug

La vulnerabilità era stata segnalata nel 2022 dalla ricercatrice Lyra Rebane, che aveva individuato un comportamento anomalo in Browser Fetch, il componente che gestisce download e connessioni in background — anche quando il browser è chiuso.

Sfruttarla significa poter mantenere un canale attivo tra una pagina web e il dispositivo della vittima. Non è un accesso totale al sistema, ma è abbastanza per:

• trasformare il browser in un proxy occulto
• instradare traffico malevolo senza che l’utente se ne accorga
• creare nodi di botnet difficili da individuare
• aggirare i normali indicatori di attività del browser

Non è fantascienza. È un rischio concreto, soprattutto perché il browser è oggi il software più esposto e più utilizzato su qualsiasi dispositivo.

La timeline reale

L’articolo originale drammatizzava. La realtà è meno cinematografica, ma più inquietante.

• 2022 — segnalazione iniziale
• 2023–2025 — patch parziali, regressioni, tentativi di mitigazione, riscritture incomplete
• inizio 2026 — Google crede di aver chiuso il problema
• maggio 2026 — il thread viene reso pubblico
• Rebane verifica: la vulnerabilità è ancora attiva
• Google richiude tutto, ma ormai il contenuto è stato visibile per ore

Non sono “42 mesi di nulla”. Sono 42 mesi di gestione imperfetta, che è quasi peggio: significa che il problema era noto, affrontato, ma mai davvero risolto.

E quando un processo di sicurezza fallisce per così tanto tempo, non è più un incidente: è un sintomo.

Edge nella stessa barca

Microsoft Edge, basato su Chromium, eredita la vulnerabilità. Non è una sorpresa: quando il motore è lo stesso, lo sono anche i bug.

La differenza è che l’interfaccia di Edge non mostra avvisi nel download manager, rendendo l’attacco ancora più silenzioso. Non è colpa di Microsoft: è un effetto collaterale dell’ecosistema Chromium, dove un singolo errore può propagarsi a milioni di dispositivi e a più browser contemporaneamente.

La dichiarazione di Google

Google minimizza:

“La vulnerabilità non permette accesso ai file locali.”

Vero. Ma è una mezza verità.

Una connessione persistente e invisibile è già un problema enorme. Non serve rubare file per compromettere un sistema: basta controllarne il traffico. E controllare il traffico significa poter:

• monitorare abitudini
• sfruttare la banda
• orchestrare attacchi distribuiti
• mascherare attività malevole dietro un browser legittimo

È un vettore perfetto per chi vuole restare invisibile.

Il punto vero

Il caso non dimostra che Chrome è “una farsa”. Dimostra qualcosa di più scomodo:

• la sicurezza perfetta non esiste
• i processi interni possono fallire anche nei colossi
• la responsible disclosure è fragile e complessa
• la complessità dei browser moderni è fuori scala
• un errore procedurale può esporre milioni di utenti in pochi minuti

E soprattutto:

non possiamo delegare la nostra sicurezza alla buona volontà di un singolo vendor.

La sicurezza non è un prodotto. È un processo. E quando quel processo si inceppa, anche solo per un attimo, il risultato è questo: una vulnerabilità nota, non risolta, resa pubblica per errore.