Минулого місяця в браузері Arc було виявлено серйозну вразливість безпеки, яку тепер виправлено

Наприкінці серпня компанія The Browser Company – розробник популярного браузера для Mac Arc, виявила серйозну вразливість у браузері, яка могла дозволити віддалене виконання коду на комп'ютерах інших користувачів без прямої взаємодії. Після отримання повідомлення про проблему, вони швидко виправили її, а деталі вразливості були розкриті кілька днів тому.

Інцидент

За словами компанії The Browser Company, жоден користувач не постраждав від вразливості, і вам не потрібно оновлювати Arc, щоб бути захищеним. Компанія заявила, що це був "перший серйозний інцидент безпеки за час існування Arc".

Дослідник безпеки xyz3va повідомив про це приватно Arc, і ви можете прочитати їх повний звіт про проблему, якщо бажаєте. В основному, Arc має функцію під назвою Boost, яка дозволяє користувачам налаштовувати вебсайти за допомогою власного CSS і JavaScript. Arc знали, що обмін користувацьким JavaScript може бути ризикованим, тому вони ніколи офіційно не дозволяли користувачам ділитися Boost, які включали користувацький JavaScript. Однак, цей експлойт знайшов лазівку в цій системі.

По суті, Arc все ще зберігав користувацькі Boost з JavaScript на своєму сервері, що дозволяло їм синхронізуватися між пристроями. Arc також використовував Firebase як бекенд для певних функцій Arc, і їх налаштування Firebase було неправильно налаштоване, що дозволяло користувачам змінювати creatorID Boost після його створення.

Це проблема, тому що якщо ви змогли б отримати ID іншого користувача, ви могли б змінити ID, пов'язаний з бустом, і тоді цей буст синхронізувався б з комп'ютером того користувача. Не дуже добре.

Було кілька способів отримати ID іншого користувача, включаючи:

• Отримати їх реферальне посилання, яке містить їх ID користувача
• Перевірити, чи опублікували вони якісь бусти, які також містили б їх ID користувача
• Подивитися на чиєсь спільне полотно (по суті, дошка), де ви також можете отримати їх ID користувача

Ще раз варто підкреслити, що цей експлойт ніколи фактично не використовувався. Проте, це могло б бути досить погано, і The Browser Company все ще вживає заходів для вирішення цих проблем у майбутньому.

Як вони це вирішують

Відтепер JavaScript буде вимкнено за замовчуванням на синхронізованих Boosts, щоб запобігти подібним атакам у майбутньому. Вам доведеться явно включати власний JavaScript на інших пристроях.

Крім того, вони планують відмовитися від використання Firebase для нових функцій та продуктів, а також додаватимуть заходи безпеки до приміток до випуску Arc, що забезпечить додаткову прозорість.

Вони також планують найняти більше людей до команди безпеки і нещодавно найняли нового інженера з безпеки.

Дослідник, який повідомив про цю проблему, отримав винагороду за безпеку у розмірі $2000, що The Browser Company раніше не практикувала. Однак на майбутнє вони хочуть мати чіткіший процес, пов'язаний з винагородами.