Trình duyệt Arc, cho phép người dùng tùy chỉnh các trang web, đã phải đối mặt với một lỗ hổng nghiêm trọng. Một trong những tính năng phân biệt trình duyệt Arc so với các đối thủ khác là khả năng tùy chỉnh các trang web. Tính năng gọi là “Boosts” cho phép người dùng thay đổi màu nền của trang web, chuyển sang một font họ yêu thích hoặc một font giúp họ đọc dễ dàng hơn và thậm chí loại bỏ các phần không mong muốn khỏi trang hoàn toàn. Sự thay đổi của họ không nên được hiển thị cho bất kỳ ai khác, nhưng họ có thể chia sẻ chúng trên các thiết bị khác nhau. Bây giờ, người sáng tạo của Arc, Công ty Trình duyệt, đã thừa nhận rằng một nhà nghiên cứu an ninh đã phát hiện một lỗi nghiêm trọng có thể cho phép kẻ tấn công sử dụng Boosts để xâm nhập vào hệ thống mục tiêu của họ.
Công ty đã sử dụng Firebase, mà nhà nghiên cứu an ninh biết với biệt danh “xyzeva” mô tả là “dịch vụ cơ sở dữ liệu làm sau lưng” trong bài đăng của họ về lỗ hổng, để hỗ trợ một số tính năng của Arc. Đối với Boosts, cụ thể là sử dụng để chia sẻ và đồng bộ hóa các tùy chỉnh trên các thiết bị. Trong bài đăng của xyzeva, họ đã chỉ ra cách trình duyệt phụ thuộc vào số xác định của người tạo (creatorID) để tải Boosts trên một thiết bị. Họ cũng chia sẻ cách mà ai đó có thể thay đổi phần tử đó thành thẻ xác định của mục tiêu của họ và gán cho mục tiêu đó những Boost họ đã tạo.
Nếu một hành động xấu tạo ra một Boost với một ứng dụng độc hại, ví dụ, họ chỉ cần thay đổi creatorID của họ thành creatorID của mục tiêu dự định. Khi mục tiêu dự định đó sau đó truy cập trang web trên Arc, họ có thể tải xuống phần mềm độc hại của hacker mà không biết. Và như nhà nghiên cứu giải thích, việc lấy ID người dùng cho trình duyệt rất dễ dàng. Người dùng đề cập ai đó đến Arc sẽ chia sẻ ID của họ cho người nhận, và nếu họ cũng tạo một tài khoản từ giới thiệu, người gửi sẽ cũng có được ID của họ. Người dùng cũng có thể chia sẻ Boosts của mình với người khác, và Arc có một trang với các Boosts công cộng chứa creatorIDs của những người tạo.
Trong bài đăng của mình, Công ty Trình duyệt nói rằng xyzeva đã thông báo cho họ về vấn đề bảo mật vào ngày 25 tháng 8 và họ đã phát hành một bản vá vào ngày hôm sau với sự giúp đỡ của nhà nghiên cứu. Họ cũng đảm bảo người dùng rằng không ai có thể lợi dụng lỗ hổng, không có người dùng nào bị ảnh hưởng. Công ty cũng đã triển khai nhiều biện pháp bảo mật để ngăn chặn tình huống tương tự, bao gồm chuyển khỏi Firebase, vô hiệu hóa Javascript trên Boosts đồng bộ theo mặc định, thiết lập chương trình thưởng bug bounty và thuê một kỹ sư bảo mật cấp cao mới.
#lỗhổngbảomật #trìnhduyệtArc #tùychỉnhtínghiệmweb
One of the feature that separates the Arc browser from its competitors is the ability to customize websites. The feature called “Boosts” allows users to change a website’s background color, switch to a font they like or one that makes it easier for them to read and even remove an unwanted elements from the page completely. Their alterations aren’t supposed to be be visible to anyone else, but they can share them across devices. Now, Arc’s creator, the Browser Company, has admitted that a security researcher found a serious flaw that would’ve allowed attackers to use Boosts to compromise their targets’ systems.
The company used Firebase, which the security researcher known as “xyzeva” described as a “database-as-a-backend service” in their post about the vulnerability, to support several Arc features. For Boosts, in particular, it’s used to share and sync customizations across devices. In xyzeva’s post, they showed how the browser relies on a creator’s identification (creatorID) to load Boosts on a device. They also shared how someone could change that element to their target’s identification tag and assign that target Boosts that they had created.
If a bad actor makes a Boost with a malicious payload, for instance, they can just change their creatorID to the creatorID of their intended target. When the intended victim then visits the website on Arc, they could unknowingly download the hacker’s malware. And as the researcher explained, it’s pretty easy to get user IDs for the browser. A user who refer someone to Arc will share their ID to the recipient, and if they also created an account from a referral, the person who sent it will also get their ID. Users can also share their Boosts with others, and Arc has a page with public Boosts that contain the creatorIDs of the people who made them.
In its post, the Browser Company said xyzeva notified it about the security issue on August 25 and that it issued a fix a day later with the researcher’s help. It also assured users that nobody got to exploit the vulnerability, no user was affected. The company has also implemented several security measures to prevent a similar situation, including moving off Firebase, disabling Javascript on synced Boosts by default, establishing a bug bounty program and hiring a new senior security engineer.
[ad_2]
