Однією з особливостей, яка відрізняє браузер Arc від його конкурентів, є можливість кастомізації веб-сайтів. Функція під назвою «Boosts» дозволяє користувачам змінювати колір фону веб-сайту, перемикатися на шрифт, який їм подобається або який полегшує читання, і навіть повністю видаляти небажані елементи зі сторінки. Їхні зміни не повинні бути видимими для інших, але вони можуть ділитися ними на різних пристроях. Тепер творець Arc, компанія Browser, визнала, що дослідник безпеки виявив серйозний недолік, який дозволив би зловмисникам використовувати Boosts для компрометації систем своїх жертв.
Компанія використовувала Firebase, яку дослідник безпеки під ніком «xyzeva» у своєму дописі про вразливість описав як «базу даних як внутрішній сервіс», для підтримки декількох функцій Arc. Зокрема, для Boosts вона використовується для обміну та синхронізації налаштувань на різних пристроях. У дописі xyzeva показано, як браузер покладається на ідентифікатор творця (creatorID) для завантаження Boosts на пристрій. Вони також розповіли, як хтось може змінити цей елемент на ідентифікаційний тег своєї цілі і призначити цій цілі Boosts, які вони створили.
Читайте також: Що таке цифрові відбитки браузера та як їх заблокувати?
Наприклад, якщо зловмисник створює Boost зі шкідливим навантаженням, він може просто змінити свій creatorID на creatorID своєї цільової жертви. Коли цільова жертва потім відвідує веб-сайт на Arc, вона може несвідомо завантажити шкідливе програмне забезпечення хакера. І як пояснив дослідник, отримати ідентифікатори користувачів для браузера досить легко. Користувач, який направить когось на Arc через реферальне посилання, поділиться своїм ідентифікатором з одержувачем, а якщо він також створив обліковий запис на основі рефералу, то людина, яка його направила, також отримає його ідентифікатор. Користувачі також можуть ділитися своїми бустами з іншими, і в Arc є сторінка з публічними бустами, які містять ідентифікатори авторів, що їх створили.
У своєму повідомленні компанія-розробник заявила, що xyzeva повідомив її про проблему з безпекою 25 серпня і що вона випустила виправлення через день за допомогою дослідника. Вона також запевнила користувачів, що ніхто не зміг скористатися вразливістю, жоден користувач не постраждав. Компанія також впровадила кілька заходів безпеки для запобігання подібній ситуації, включаючи відмову від Firebase, вимкнення Javascript у синхронізованих Boosts за замовчуванням, створення програми винагороди за виправлення помилок і наймання нового старшого інженера з безпеки.
