Il ricercatore di sicurezza “xyz3va” su X ha scoperto una vulnerabilità significativa nel browser Arc che avrebbe potuto esporre gli utenti ad attacchi dannosi.
La falla registrata sul Mitre con CVE-2024-45489, ha consentito agli aggressori di eseguire codice arbitrario sui browser di altri utenti sfruttando la funzionalità Boost di Arc , una suite di strumenti all’interno del noto browser che consente agli utenti di personalizzare l’aspetto dei siti web.
Dettagli sulla vulnerabilità, patch e miglioramenti della sicurezza
Secondo un bollettino di sicurezza rilasciato da Arc Browser, l’exploit è stato collegato a una configurazione errata nell’uso di Firebase da parte di Arc, un servizio backend supportato da Google utilizzato per archiviare i dati degli utenti, inclusi i Boost.
Il ricercatore xyz3va ha scoperto la vulnerabilità mentre esplorava la funzionalità Boost di Arc il 25 agosto.
Manipolando gli ID utente collegati a Boost, xyz3va ha dimostrato che un aggressore potrebbe iniettare codice dannoso nel browser di una vittima senza la conoscenza o il consenso dell’utente. Ha ottenuto gli ID utente tramite tecniche di web scraping e ha dimostrato che un codice arbitrario potrebbe essere eseguito ogni volta che la vittima visita un sito Web specifico manifestando l’attacco xxs stored (cross site scripting persistente) uno tra i più insidiosi. Ciò ha permesso ai malintenzionati il controllo sulla sessione del browser della vittima.
Tuttavia, la vulnerabilità è stata corretta il 26 agosto e un’indagine interna ha rivelato che nessun utente era stato colpito. Arc ha pagato al ricercatore una ricompensa di 2.000 $ per i suoi sforzi.
La Browser Company ha risposto rapidamente, apportando miglioramenti immediati alla sicurezza. Tra questi, la disattivazione di JavaScript sui Boost sincronizzati per impostazione predefinita e l’abbandono di Firebase per funzionalità future per prevenire problemi simili.
Inoltre, l’azienda ha avviato un audit esterno di emergenza delle sue configurazioni Firebase per assicurarsi che non vi fossero ulteriori vulnerabilità.
L’azienda pianifica inoltre audit di sicurezza regolari ogni sei mesi e sta lavorando per aggiornare la propria architettura e i propri processi di sicurezza per prevenire future violazioni.
Questo incidente segna la prima vulnerabilità di Arc. Finora, la società sta metabolizzando l’accaduto come un momento di apprendimento e critica costruttiva.
L’azienda si è impegnata a perfezionare la sua risposta alle falle di sicurezza e a migliorare il suo programma di bug bounty per incentivare ulteriormente i ricercatori.
Con questi miglioramenti, Arc intende rafforzare la propria sicurezza e impedire che vulnerabilità simili vengano sfruttate in futuro.