Ένα από τα χαρακτηριστικά που διαχωρίζει το πρόγραμμα περιήγησης Arc από τους ανταγωνιστές του είναι η δυνατότητα προσαρμογής ιστοσελίδων. Η λειτουργία που ονομάζεται “Boosts” επιτρέπει στους χρήστες να αλλάζουν το χρώμα φόντου ενός ιστότοπου, να αλλάζουν σε μια γραμματοσειρά που τους αρέσει ή σε μια γραμματοσειρά που τους διευκολύνει να διαβάσουν και ακόμη και να αφαιρέσουν εντελώς ανεπιθύμητα στοιχεία από τη σελίδα. Οι τροποποιήσεις τους δεν υποτίθεται ότι είναι ορατές σε κανέναν άλλον, αλλά μπορούν να τις μοιραστούν σε όλες τις συσκευές. Τώρα, ο δημιουργός του Arc, η εταιρεία Browser Company, έχει παράδεκτος ότι ένας ερευνητής ασφαλείας βρήκε ένα σοβαρό ελάττωμα που θα επέτρεπε στους επιτιθέμενους να χρησιμοποιήσουν Boost για να υπονομεύσουν τα συστήματα των στόχων τους.
Η εταιρεία χρησιμοποίησε το Firebase, το οποίο ο ερευνητής ασφαλείας γνωστός ως “xyzeva” περιέγραψε ως “υπηρεσία βάσης δεδομένων ως υποστήριξη” ανάρτηση σχετικά με την ευπάθειαγια την υποστήριξη πολλών λειτουργιών Arc. Για το Boosts, ειδικότερα, χρησιμοποιείται για κοινή χρήση και συγχρονισμό προσαρμογών μεταξύ συσκευών. Στην ανάρτηση του xyzeva, έδειξαν πώς το πρόγραμμα περιήγησης βασίζεται στην ταυτότητα ενός δημιουργού (creatorID) για να φορτώσει τα Boosts σε μια συσκευή. Μοιράστηκαν επίσης πώς θα μπορούσε κάποιος να αλλάξει αυτό το στοιχείο στην ετικέτα αναγνώρισης του στόχου του και να εκχωρήσει σε αυτόν τον στόχο Boost που είχε δημιουργήσει.
Εάν, για παράδειγμα, ένας κακός ηθοποιός κάνει Boost με κακόβουλο ωφέλιμο φορτίο, μπορεί απλώς να αλλάξει το αναγνωριστικό δημιουργού του στο αναγνωριστικό δημιουργού του προβλεπόμενου στόχου. Όταν το επιδιωκόμενο θύμα επισκεφτεί τον ιστότοπο στο Arc, θα μπορούσε εν αγνοία του να κατεβάσει το κακόβουλο λογισμικό του χάκερ. Και όπως εξήγησε ο ερευνητής, είναι πολύ εύκολο να αποκτήσετε αναγνωριστικά χρήστη για το πρόγραμμα περιήγησης. Ένας χρήστης που παραπέμπει κάποιον στο Arc θα μοιραστεί το αναγνωριστικό του στον παραλήπτη και εάν δημιούργησε επίσης έναν λογαριασμό από μια παραπομπή, το άτομο που τον έστειλε θα λάβει επίσης το αναγνωριστικό του. Οι χρήστες μπορούν επίσης να μοιράζονται τα Boosts τους με άλλους και το Arc έχει μια σελίδα με δημόσια Boosts που περιέχουν τα creatorIDs των ατόμων που τα δημιούργησαν.
Στην ανάρτησή της, η Εταιρεία Browser είπε ότι η xyzeva την ενημέρωσε για το ζήτημα ασφαλείας στις 25 Αυγούστου και ότι εξέδωσε μια επιδιόρθωση μια μέρα αργότερα με τη βοήθεια του ερευνητή. Διαβεβαίωσε επίσης τους χρήστες ότι κανείς δεν μπορούσε να εκμεταλλευτεί την ευπάθεια, κανένας χρήστης δεν επηρεάστηκε. Η εταιρεία έχει επίσης εφαρμόσει πολλά μέτρα ασφαλείας για να αποτρέψει μια παρόμοια κατάσταση, συμπεριλαμβανομένης της απομάκρυνσης του Firebase, της απενεργοποίησης του Javascript σε συγχρονισμένα Boosts από προεπιλογή, της δημιουργίας ενός προγράμματος bounty bug και της πρόσληψης ενός νέου ανώτερου μηχανικού ασφαλείας.
VIA: engadget.com
