Еще в конце августа The Browser Company — компания, стоящая за популярным браузером Mac Arc, узнала о серьезной уязвимости безопасности в браузере, которая могла позволить удаленное выполнение кода на компьютере другого пользователя без прямого взаимодействия. Они исправили ее быстро, как только получили уведомление, и подробности уязвимости были раскрыты несколько дней назад.
Инцидент
По данным The Browser Company, ни один пользователь не пострадал от уязвимости, и вам не нужно обновлять Arc, чтобы быть защищенным. Компания заявила, что это был «первый серьезный инцидент безопасности за всю историю Arc».
Исследователь безопасности xyz3va сообщил об этом в частном порядке Arc, и вы можете прочитать их полную статью по этой проблеме, если хотите. По сути, Arc имеет функцию под названием Boost, которая позволяет пользователям настраивать веб-сайты с помощью собственных CSS и JavaScript. Arc знали, что распространение пользовательского JavaScript может быть рискованным, поэтому они никогда официально не разрешали пользователям делиться Boost, которые включали пользовательский JavaScript. Однако этот эксплойт нашел лазейку в этой системе.
По сути, Arc все еще сохранял пользовательские надстройки с JavaScript на своем сервере, что позволяло им синхронизироваться между устройствами. Arc также использовал Firebase в качестве бэкэнда некоторых функций Arc, и их настройка Firebase была неправильно настроена, что позволяло пользователям изменять creatorID надстройки после ее создания.
Это проблема, потому что если бы вы могли получить другой идентификатор пользователя, вы могли бы изменить идентификатор, связанный с повышением, и тогда это повышение синхронизировалось бы с компьютером этого пользователя. Не очень хорошо.
Существовало несколько способов получить чужой идентификатор пользователя, в том числе:
- Получение их реферала, который будет содержать их идентификатор пользователя
- Проверка того, опубликовали ли они какие-либо повышения, в которых также будет указан их идентификатор пользователя
- Глядя на чей-то общий мольберт (по сути, доску), где вы также можете получить его идентификатор пользователя
Еще раз стоит подчеркнуть, что этот эксплойт никогда не был использован. Однако он мог быть довольно плохим, и The Browser Company все еще принимает меры для устранения проблем в будущем.
Как они решают эту проблему
С этого момента JavaScript будет отключен на синхронизированных Boosts по умолчанию, предотвращая подобные атаки в будущем. Вам придется явно включать пользовательский JavaScript на других устройствах в дальнейшем.
Кроме того, они планируют отказаться от Firebase для внедрения новых функций и продуктов, а также добавят меры по снижению рисков безопасности в заметки о выпуске Arc, обеспечив тем самым дополнительную прозрачность.
Они также планируют нанять больше людей в команду безопасности и недавно наняли нового инженера по безопасности.
Исследователь, сообщивший об этой проблеме, получил вознаграждение за безопасность в размере 2000 долларов, чего The Browser Company традиционно не делала. Однако в дальнейшем они хотят иметь более четкий процесс, связанный с вознаграждениями.
Подпишитесь на Майкла: X/Twitter, Треды