O navegador Arc que permite personalizar sites tinha uma vulnerabilidade séria #ÚltimasNotícias #tecnologia

Um dos recursos que separa o navegador Arc de seus concorrentes é a capacidade de personalizar sites. O recurso chamado “Boosts” permite que os usuários alterem a cor de fundo de um site, troquem para uma fonte que gostem ou uma que facilite a leitura e até mesmo removam elementos indesejados da página completamente. Suas alterações não devem ser visíveis para ninguém, mas podem ser compartilhadas entre dispositivos. Agora, o criador do Arc, a Browser Company, admitiu que um pesquisador de segurança encontrou uma falha séria que teria permitido que invasores usassem Boosts para comprometer os sistemas de seus alvos.

A empresa usou o Firebase, que o pesquisador de segurança conhecido como “xyzeva” descreveu como um “serviço de banco de dados como backend” em sua postagem sobre a vulnerabilidade, para dar suporte a vários recursos do Arc. Para Boosts, em particular, ele é usado para compartilhar e sincronizar personalizações entre dispositivos. Na postagem de xyzeva, eles mostraram como o navegador depende da identificação de um criador (creatorID) para carregar Boosts em um dispositivo. Eles também compartilharam como alguém poderia alterar esse elemento para a tag de identificação de seu alvo e atribuir a esse alvo Boosts que eles criaram.

Se um ator mal-intencionado fizer um Boost com uma carga maliciosa, por exemplo, ele pode simplesmente mudar seu creatorID para o creatorID do alvo pretendido. Quando a vítima pretendida então visita o site no Arc, ela pode, sem saber, baixar o malware do hacker. E como o pesquisador explicou, é bem fácil obter IDs de usuário para o navegador. Um usuário que indica alguém para o Arc compartilhará seu ID com o destinatário, e se ele também criou uma conta a partir de uma indicação, a pessoa que a enviou também obterá seu ID. Os usuários também podem compartilhar seus Boosts com outros, e o Arc tem uma página com Boosts públicos que contêm os creatorIDs das pessoas que os fizeram.

Em sua postagem, a Browser Company disse que a xyzeva a notificou sobre o problema de segurança em 25 de agosto e que emitiu uma correção um dia depois com a ajuda do pesquisador. Ela também garantiu aos usuários que ninguém conseguiu explorar a vulnerabilidade, nenhum usuário foi afetado. A empresa também implementou várias medidas de segurança para evitar uma situação semelhante, incluindo sair do Firebase, desabilitar o Javascript em Boosts sincronizados por padrão, estabelecer um programa de recompensa por bugs e contratar um novo engenheiro de segurança sênior.