Dość niespodziewanie deweloperzy przeglądarki Arc przyznali się do tego, że ich produkt miał poważną lukę bezpieczeństwa. Szybko ją załatali, ale jednak użytkownicy byli narażeni na atak. O co chodzi w całej sytuacji i jak bardzo oprogramowanie było narażone na ataki z zewnątrz?
Arc z luką bezpieczeństwa
The Browser Company, któremu zawdzięczamy przeglądarkę Arc, kilka dni temu w swoim oficjalnym oświadczeniu potwierdziło, że ich produkt zawierał poważną lukę bezpieczeństwa. Firma oświadczyła, iż od razu po otrzymaniu informacji o tym podjęła niezbędne środki, żeby wyeliminować lukę. Na czym polegał cały problem? Przeglądarka umożliwiała wykonanie złośliwego kodu na komputerze użytkownika bez bezpośredniej interakcji.
Zgodnie z tym, co podaje The Browser Company, żaden użytkownik nie został dotknięty atakiem. Co więcej, osoby korzystające z Arc nie muszą teraz aktualizować przeglądarki, żeby być chronionymi przed tym atakiem, ale zdecydowanie lepiej jest posiadać najnowszą wersję aplikacji. Funkcja, która jest źródłem problemu, to „Boost”. Pozwala ona dostosowywać użytkownikom witryny do własnych preferencji, dodając po stronie użytkownika własny kod CSS oraz JavaScript.
Naprawienie funkcji boost
Deweloperzy zdawali sobie sprawę, że udostępnianie niestandardowego kodu JS może generować problemy, dlatego nigdy oficjalnie na to nie pozwolili użytkownikom. Arc zapisywał niestandardowy kod za pomocą JavaScript na swoim serwerze, co pozwalało na synchronizację między urządzeniami. Przeglądarka korzystała z firebase jako zaplecza niektórych funkcji Arc, a ich konfiguracja była błędnie zaprogramowana, co pozwalało użytkownikom na zmianę creatorID, co z kolei umożliwiało wykonanie złośliwego kodu.
W celu usunięcia tego problemu deweloperzy odpowiedzialni za rozwój Arc zdecydowali się na domyślne wyłączenie customowego kodu JavaScript w synchronizowanych urządzeniach korzystających z Boost. Firma planuje również odejść od korzystania z firebase w przypadku nowych produktów oraz funkcji. Co więcej, jeden z celów jest zatrudnienie większej liczby specjalistów ds. cyberbezpieczeństwa.
Ponadto, The Browser Company postanowiło nagrodzić użytkownika, który znalazł lukę i wypłaciło mu 2000 dolarów. To pierwszy taki przypadek w historii, przez co firma chce również przygotować standard wynagrodzeń dla ludzi odkrywających różnego rodzaju błędy wpływające na bezpieczeństwo lub wygodę korzystania z produktu.