Браузер Arc Browser недавно стал популярнее прежнего благодаря релизу в системе Windows. Пользователи сравнивают его с другими популярными браузерами, в первую очередь Chrome. Однако исследователь информационной безопасности обнаружил серьёзную уязвимость, которая позволяла захватывать браузеры других пользователей. Хотя этот кажется пугающим, проблема была решена.
В блоге Arc сообщается, что компания узнала об уязвимости от исследователя под ником xyzeva. Наградой за открытие стала сумма в размере $2000 от разработчиков браузера.
Xyzeva обнаружила проблему в функции Arc Boosts, позволяющей пользователям запускать любые CSS и Javascript на любом сайте. Хотя это удобно, возможность представляет большой риск, поскольку могла быть использована злоумышленниками. Чтобы снизить риск, Arc закрепил каждый boost за определённым идентификатором пользователя (User ID), чтобы только разработчик мог его использовать, а данные этих boosts сохранялись в облачном хранилище.
Xyzeva разобралась в работе Arc Boost и нашла способ изменить идентификатор пользователя на любой. Она создала boost для запуска произвольного вредоносного код, когда жертва заходила на популярный сайт, привязав этот boost к идентификатору User ID жертвы. Идентификатор можно легко получить с помощью различных методов скрапинга данных.
Когда жертва открывала Arc, браузер загружал вредоносный boost и выполнял его при посещении сайта, указанного в boost. Это позволяло xyzeva получить доступ к браузеру любого пользователя без необходимости заходить на сайт. Для демонстрации она создала boost, который отображал всплывающее окно с надписью «гав-гав» при посещении сайта Google.
В Arc заявили, что xyzeva была единственным человеком, кто обнаружил этот баг, и ни один пользователь не пострадал от этой уязвимости. Тем не менее, пользователям рекомендуется обновить браузер до последней версии.