Еще в конце августа The Browser Company – компания, создавшая популярный браузер Arc для Mac, – узнала о серьезной уязвимости безопасности в браузере, которая позволяет удаленно выполнять код на компьютере другого пользователя без прямого взаимодействия. Они оперативно исправили уязвимость, как только получили об этом предупреждение, а подробности уязвимости были раскрыты на прошлой неделе.
Обновление от 28 сентября: Всего за неделю The Browser Company завершила устранение ряда недостатков безопасности. Джош Миллер, генеральный директор The Browser Company, опубликовал в пятницу твит, в котором описал все внесенные ими изменения. Это включает в себя обещанную программу вознаграждений за обнаружение ошибок, новый бюллетень по безопасности, а также другие внутренние изменения, связанные с процедурами безопасности.
Кроме того, они увеличили вознаграждение xyz3va с 2 тысяч долларов США до 20 тысяч долларов США, а генеральный директор лично предложил им работу, если они будут заинтересованы. Оригинальная история ниже:
Инцидент
Компания-браузер подтвердила, что уязвимость не затронула ни одного пользователя, и вам не нужно обновлять Arc, чтобы оставаться в безопасности. Компания заявила, что это был «первый серьезный инцидент безопасности за всю жизнь Арк».
Исследователь безопасности xyz3va сообщил об этом Arc в частном порядке, и вы можете прочитать их полный отчет по проблеме, если хотите. По сути, в Arc есть функция Boost, которая позволяет пользователям настраивать веб-сайты с помощью собственного CSS и JavaScript. Arc знала, что совместное использование пользовательского JavaScript может быть рискованным, поэтому они никогда официально не разрешали пользователям делиться Boost, включающими собственный JavaScript. Однако этот эксплойт нашел лазейку в этой системе.
По сути, Arc по-прежнему сохранял пользовательские улучшения с помощью JavaScript на своем сервере, что позволяло им синхронизироваться между устройствами. Arc использовала Firebase в качестве бэкэнда для определенных функций, но их неправильно настроенная настройка Firebase позволяла пользователям изменять идентификатор создателя повышения после его создания.
Это проблема, поскольку если бы вы смогли получить идентификатор другого пользователя, вы могли бы изменить идентификатор, связанный с повышением, и тогда это повышение синхронизировалось бы с компьютером этого пользователя. Не здорово.
Существовало несколько способов получить чужой идентификатор пользователя, в том числе:
- Получение их реферала, который будет содержать их идентификатор пользователя.
- Проверяем, опубликовали ли они какие-либо повышения, которые также имели бы свой идентификатор пользователя.
- Глядя на чей-то общий мольберт (по сути, на доску), где вы также можете получить его идентификатор пользователя.
Еще раз стоит подчеркнуть, что этот эксплойт так и не был использован. Однако все могло быть очень плохо, и компания Browser Company все еще предпринимает шаги для решения проблем в будущем.
Как они решают эту проблему
С этого момента JavaScript будет отключен для синхронизированных Boost по умолчанию, что предотвратит повторение подобных атак в будущем. В будущем вам придется явно включить пользовательский JavaScript на других устройствах.
Кроме того, они планируют отказаться от Firebase для использования новых функций и продуктов, а также добавят меры по снижению безопасности в примечания к выпуску Arc, обеспечив дополнительную прозрачность.
Они также планируют нанять больше людей в команду безопасности и недавно наняли нового инженера по безопасности.
Исследователь, сообщивший об этой проблеме, получил награду за безопасность в размере 2000 долларов, чего The Browser Company традиционно не делала. Однако в будущем они хотят иметь более четкий процесс, связанный с вознаграждениями.
Следуйте за Майклом: X/Twitter, Threads, Instagram