احذر.. متصفح Arc به ثغرة خطيرة
إحدى الميزات التي تميز Arc Browser عن منافسيه هي القدرة على تخصيص مواقع الويب. تتيح ميزة التعزيزات للمستخدمين تغيير لون خلفية موقع الويب، والتبديل إلى الخط الذي يفضلونه أو الذي يكون أكثر قابلية للقراءة بالنسبة لهم، وحتى إزالة العناصر غير المرغوب فيها من الصفحة بالكامل. لا تريد أن تكون تغييراتك مرئية لأي شخص، ولكن يمكنك مشاركتها عبر الأجهزة. اعترفت الآن شركة Browser Company، التي ابتكرت Arc، بأن أحد الباحثين الأمنيين اكتشف ثغرة أمنية حرجة من شأنها أن تسمح للمهاجمين باستخدام Boosts لاختراق أنظمة أهدافهم.
واستخدمت الشركة Firebase، الذي وصفه الباحث الأمني “xyzeva” في منشوره حول الثغرة الأمنية بأنها “قاعدة بيانات كخدمة خلفية”، لدعم العديد من ميزات Arc. خاصة مع التعزيزات، يتم استخدامه لمشاركة التعديلات ومزامنتها عبر الأجهزة. أظهر منشور xyzeva كيف يعتمد المتصفح على CreatorID لتحميل الملحقات على الجهاز. لقد شاركوا أيضًا كيف يمكن لشخص ما تحويل هذا العنصر إلى علامة تحدد هدفه وتعيين التعزيزات المستهدفة التي يقوم بإنشائها.
على سبيل المثال، إذا قام أحد الممثلين الضارين بإنشاء امتداد بحمولة ضارة، فيمكنه ببساطة تغيير معرف المنشئ الخاص به إلى معرف المنشئ للهدف المقصود. عندما يزور الضحية المقصود موقع الويب على Arc، يمكنه تنزيل البرامج الضارة للمتسلل دون علمه. وكما أوضح الباحث، فإن الحصول على معرفات مستخدم المتصفح أمر سهل للغاية. يقوم المستخدم الذي يوصي بشخص ما إلى Arc بمشاركة معرفه مع المستلم، وإذا قام أيضًا بإنشاء حساب من توصية، فإن الشخص الذي أرسله يتلقى أيضًا معرفه. يمكن للمستخدمين أيضًا مشاركة التعزيزات الخاصة بهم مع الآخرين، ولدى Arc صفحة التعزيزات العامة التي تحتوي على معرفات المنشئ للأشخاص الذين قاموا بإنشائها.
قالت الشركة المصنعة للمتصفح في منشورها إن xyzeva أبلغتها بالمشكلة الأمنية في 25 أغسطس وأصدرت إصلاحًا في اليوم التالي بمساعدة أحد الباحثين. كما طمأنت المستخدمين بأنه لا يمكن لأحد استغلال الثغرة الأمنية ولم يتأثر أي مستخدم. نفذت الشركة أيضًا العديد من الإجراءات الأمنية لمنع حدوث موقف مماثل، بما في ذلك ترحيل Firebase، وتعطيل Javascript افتراضيًا عند التعزيزات المتزامنة، وإنشاء برنامج مكافأة الأخطاء، وتوظيف مهندس أمان رئيسي جديد.
