مطالعهای دانشگاهی از سوی دانشگاه کاتولیک لوون بلژیک (KU Leuven) مرورگرهای تعبیهشده در تلویزیونهای هوشمند سامسونگ، الجی و فیلیپس، همچنین کتابخوانهای الکترونیکی مانند کیندل و کوبو، کنسولهای بازی و شماری دیگر از دستگاههای مدرن را بررسی کرده است.
در این محصولات مصرفی، مرورگر وب معمولاً یک قابلیت جانبی بهشمار میرود که کاربران فقط گاهی از آن استفاده میکنند؛ اما همین حضور پنهان، به گفته پژوهشگران، مشکل کوچکی نیست.
دلیلش هم ساده است: این مرورگرها بهشدت ناامن هستند. در این تحقیق مشخص شد هر پنج کتابخوان الکترونیکی بررسیشده و ۲۴ مدل از ۳۵ تلویزیون هوشمند، از مرورگرهایی استفاده میکنند که دستکم سه سال از نسخههای روز عقبترند.
در گزارش آمده است: «در حالی که کاربران میتوانند به رویههای شفاف امنیتی و بهروزرسانیهای منظم مرورگرهای مستقل تکیه کنند، مرورگرهای یکپارچهشده در دستگاهها اغلب از چنین تضمینهایی برخوردار نیستند.»
برخی دستگاهها حتی از روز اول با مرورگرهای آسیبپذیر عرضه شدهاند. پژوهشگران هشت محصول را شناسایی کردهاند که هنگام عرضه، به مرورگرهایی سهساله مجهز بودهاند؛ یعنی خریداران از همان لحظه نخست، در معرض خطر قرار گرفتهاند.
اگرچه بعضی تولیدکنندگان وعده بهروزرسانی رایگان میانافزار (Firmware) دادهاند، اما در عمل بیشتر آنها مرورگرهای تعبیهشده را بهروزرسانی نکردهاند. البته انتظار بهروزرسانی دائمی نرمافزارهای تعبیهشده شاید واقعبینانه نباشد، اما مشکل اصلی از جای دیگری ناشی میشود.
به گفته نویسندگان مطالعه، بسیاری از سازندگان حتی از سازوکار بهروزرسانی خودکار رایگانی که مرورگرهای مدرن ارائه میدهند هم استفاده نکردهاند؛ و دلیل اصلی آن، هزینه است. پژوهشگران توضیح میدهند که در برخی محصولات، مرورگر تعبیهشده با سایر اجزای رابط کاربری یکپارچه شده و بهروزرسانی آن—بهویژه در چارچوبهایی مانند Electron—مستلزم بهروزرسانی کل چارچوب است؛ کاری که میتواند وابستگیها را بشکند و هزینه توسعه را بالا ببرد.
از سوی دیگر، در اغلب موارد این مرورگرها بدون رابط کاربری معمول مرورگر در دل رابط دستگاه پنهان شدهاند؛ بنابراین حتی اگر کاربر بخواهد، امکان نصب بهروزرسانی بهصورت مستقل را ندارد. در چنین سناریویی، سازنده باید نسخه جدید مرورگر را در میانافزار خود ادغام و یک بهروزرسانی کامل Firmware منتشر کند؛ اقدامی که بسیاری از شرکتها بهدلیل هزینههای بالا از آن اجتناب میکنند.
تیم KU Leuven یافتههای خود را به نهادهای مسئول در بلژیک و آمریکا گزارش کرده است، اما ظاهراً تنها مرکز امنیت سایبری بلژیک تلاش کرده با تولیدکنندگان وارد گفتوگو شود. کمیسیون تجارت فدرال آمریکا (FTC) پاسخی ارائه نکرده است.
بر اساس «قانون تابآوری سایبری اتحادیه اروپا» (EU Cyber Resilience Act)، از سال ۲۰۲۷ تولیدکنندگان سختافزار در اتحادیه اروپا ملزم خواهند بود بهروزرسانیهای امنیتی منظم و بهموقع ارائه دهند؛ بهروزرسانیهایی که در صورت استفاده رایج دستگاه برای وبگردی، باید مرورگرهای تعبیهشده را نیز پوشش دهد.