A empresa utilizou o Firebase, que o pesquisador de segurança conhecido como “xyzeva” descreveu como um “serviço de banco de dados como backend” em seu post sobre a vulnerabilidade, para suportar várias funcionalidades do Arc. Para os Boosts, em particular, ele é usado para compartilhar e sincronizar personalizações entre dispositivos. No post de xyzeva, ele mostrou como o navegador depende da identificação do criador (creatorID) para carregar os Boosts em um dispositivo. Ele também compartilhou como alguém poderia alterar esse elemento para a tag de identificação de seu alvo e atribuir a esse alvo Boosts que eles haviam criado.
Se um ator mal-intencionado criar um Boost com uma carga maliciosa, por exemplo, eles podem simplesmente alterar seu creatorID para o creatorID de seu alvo pretendido. Quando a vítima pretendida visita o site no Arc, ela pode baixar inadvertidamente o malware do hacker. E, como explicou o pesquisador, é bastante fácil obter IDs de usuário para o navegador. Um usuário que indica alguém para o Arc compartilhará seu ID com o destinatário e, se eles também criarem uma conta a partir de uma indicação, a pessoa que a enviou também receberá seu ID. Os usuários também podem compartilhar seus Boosts com outros, e o Arc tem uma página com Boosts públicos que contêm os creatorIDs das pessoas que os criaram.
Em seu post, a Browser Company disse que xyzeva a notificou sobre o problema de segurança em 25 de agosto e que emitiu uma correção um dia depois com a ajuda do pesquisador. Também assegurou aos usuários que ninguém conseguiu explorar a vulnerabilidade, nenhum usuário foi afetado. A empresa também implementou várias medidas de segurança para evitar uma situação semelhante, incluindo a migração do Firebase, a desativação do Javascript nos Boosts sincronizados por padrão, o estabelecimento de um programa de recompensas por bugs e a contratação de um novo engenheiro de segurança sênior.
Redação Confraria Tech.
Referências:
The Arc browser that lets you customize websites had a serious vulnerability
