Un ricercatore di sicurezza ha scoperto una grave vulnerabilità in Arc Browser che potrebbe essere sfruttata per accedere alle sessioni di navigazione di altri utenti. Il problema, risolto a fine agosto, era presente nella funzionalità Boosts che consente di personalizzare l’aspetto dei siti web. La software house introdurrà diverse modifiche per evitare simili bug in futuro.
Descrizione della vulnerabilità
Arc Browser offre la possibilità di personalizzare l’aspetto delle pagine web con Boosts. Gli utenti possono cambiare colore di sfondo, contrasto, luminosità, tipo e dimensione dei caratteri. Ciò avviene tramite JavaScript e CSS custom. Per la sincronizzazione dei Boost tra i dispositivi viene usato Firebase come backend sui server della software house. Ad ogni utente viene assegnato un creatorID.
Un ricercatore di sicurezza ha scoperto che era possibile cambiare il creatorID dopo la creazione del Boost e assegnare quest’ultimo a qualsiasi utente conoscendo il suo userID. Un userID si può ottenere tramite referral link, condivisione dei Boost o easel (whiteboard). Hursh Agrawal, CTO e co-fondatore di The Browser Company, ha spiegato che la vulnerabilità era dovuta all’errata configurazione delle Access Control List di Firebase.
Dato che un Boost contiene JavaScript è possibile nascondere codice arbitrario (ad esempio per il download di malware) che viene eseguito quando l’ignara vittima visita il sito web associato al Boost. Il bug è stato prontamente risolto il giorno successivo (26 agosto) alla segnalazione (25 agosto).
Fortunatamente la vulnerabilità non è stata sfruttata da nessun malintenzionato. La software house introdurrà diversi miglioramenti, tra cui la disattivazione di JavaScript nei Boost sincronizzati. Inoltre non verrà più utilizzato Firebase.
Aggiornamento (28/09/2024): la software house ha annunciato che pubblicherà bollettini di sicurezza per le vulnerabilità e pagherà premi in denaro ai ricercatori che scoprono i bug.