L’une des fonctionnalités qui distingue le navigateur Arc de ses concurrents est la possibilité de personnaliser les sites Web. La fonctionnalité appelée « Boosts » permet aux utilisateurs de modifier la couleur d’arrière-plan d’un site Web, de passer à une police qu’ils aiment ou qui facilite la lecture et même de supprimer complètement des éléments indésirables de la page. Leurs modifications ne sont pas censées être visibles par quiconque, mais ils peuvent les partager sur plusieurs appareils. Aujourd’hui, le créateur d’Arc, la Browser Company, a admis qu’un chercheur en sécurité a découvert une faille grave qui aurait permis aux attaquants d’utiliser Boosts pour compromettre les systèmes de leurs cibles.
L’entreprise a utilisé Firebase, que le chercheur en sécurité connu sous le nom de « xyzeva » a décrit comme un « service de base de données en tant que backend » dans son article sur la vulnérabilité, pour prendre en charge plusieurs fonctionnalités d’Arc. Pour les Boosts, en particulier, il est utilisé pour partager et synchroniser les personnalisations entre les appareils. Dans l’article de xyzeva, ils ont montré comment le navigateur s’appuie sur l’identification d’un créateur (creatorID) pour charger les Boosts sur un appareil. Ils ont également expliqué comment quelqu’un pouvait modifier cet élément en fonction de la balise d’identification de sa cible et attribuer à cette cible les Boosts qu’il avait créés.
Si un acteur malveillant crée un Boost avec une charge utile malveillante, par exemple, il peut simplement remplacer son identifiant de créateur par celui de sa cible. Lorsque la victime visée visite ensuite le site Web sur Arc, elle peut télécharger sans le savoir le malware du pirate. Et comme l’explique le chercheur, il est assez facile d’obtenir les identifiants d’utilisateur pour le navigateur. Un utilisateur qui recommande quelqu’un à Arc partagera son identifiant avec le destinataire, et s’il a également créé un compte à partir d’une recommandation, la personne qui l’a envoyé recevra également son identifiant. Les utilisateurs peuvent également partager leurs Boosts avec d’autres, et Arc dispose d’une page avec des Boosts publics qui contiennent les identifiants de créateur des personnes qui les ont créés.
Dans son message, la société de navigateurs a déclaré que xyzeva l’avait informée du problème de sécurité le 25 août et qu’elle avait publié un correctif un jour plus tard avec l’aide du chercheur. Elle a également assuré aux utilisateurs que personne n’avait pu exploiter la vulnérabilité, aucun utilisateur n’a été affecté. La société a également mis en œuvre plusieurs mesures de sécurité pour éviter une situation similaire, notamment en quittant Firebase, en désactivant Javascript sur les Boosts synchronisés par défaut, en établissant un programme de primes aux bugs et en embauchant un nouvel ingénieur de sécurité senior.