Eine der Funktionen, die Arc Browser von seinen Mitbewerbern unterscheidet, ist die Möglichkeit, Websites anzupassen. Eine Funktion namens „Boosts“ ermöglicht es Benutzern, die Hintergrundfarbe einer Website zu ändern, zu einer Schriftart zu wechseln, die ihnen gefällt oder die ihnen das Lesen erleichtert, und sogar unerwünschte Elemente vollständig von der Seite zu entfernen. Ihre Änderungen sollten für andere nicht sichtbar sein, aber sie können sie geräteübergreifend teilen. Jetzt haben es die Entwickler von Arc, Browser Company, getan bekennen dass ein Sicherheitsforscher einen schwerwiegenden Fehler entdeckt hat, der es Angreifern ermöglichen könnte, Boost zu nutzen, um ihre Zielsysteme zu kompromittieren.
Das Unternehmen nutzt Firebase, das der Sicherheitsforscher „xyzeva“ als „Datenbank-als-Backend-Dienst“ bezeichnet Beitrag über Schwachstellenum einige Arc-Funktionen zu unterstützen. Speziell für Boosts wird diese Funktion verwendet, um Anpassungen geräteübergreifend zu teilen und zu synchronisieren. Im Beitrag von xyzeva wird gezeigt, wie der Browser auf die Identifizierung des Erstellers (creatorID) angewiesen ist, um Boosts auf das Gerät zu laden. Sie teilen auch mit, wie man diese Elemente in ihre Zielidentifikations-Tags ändern und die von ihnen erstellten Ziel-Boosts zuweisen kann.
Wenn ein Krimineller beispielsweise einen Boost mit einer bösartigen Nutzlast erstellt, kann er dessen Ersteller-ID in die Ersteller-ID des beabsichtigten Ziels ändern. Wenn das beabsichtigte Opfer dann eine Website auf Arc besucht, kann es die Malware des Hackers herunterladen, ohne es zu merken. Und wie die Forscher erklären, ist es ziemlich einfach, die Benutzer-ID für den Browser zu erhalten. Benutzer, die jemanden an Arc empfehlen, teilen ihre ID mit dem Empfänger, und wenn sie aus der Empfehlung auch ein Konto erstellen, erhält die Person, die es gesendet hat, auch ihre ID. Benutzer können ihre Boosts auch mit anderen teilen, und Arc verfügt über eine Seite mit öffentlichen Boosts, die die Ersteller-IDs der Personen enthält, die sie erstellt haben.
In ihrem Beitrag sagte Browser Company, xyzeva habe es am 25. August über das Sicherheitsproblem informiert und dass das Unternehmen einen Tag später mithilfe von Forschern eine Lösung herausgegeben habe. Das Unternehmen versicherte den Benutzern außerdem, dass niemand die Sicherheitslücke ausnutzen könne und keine Benutzer betroffen seien. Das Unternehmen hat außerdem mehrere Sicherheitsmaßnahmen implementiert, um ähnliche Situationen zu verhindern, darunter die Deaktivierung von Firebase, die Deaktivierung von Javascript auf Boost, das standardmäßig synchronisiert, die Erstellung eines Bug-Bounty-Programms und die Einstellung eines neuen leitenden Sicherheitsingenieurs.