اعترفت Browser Company، وهي الشركة المصنعة لمتصفح Arc، بأن باحثة أمنية وجدت خللًا خطيرًا كان يسمح للمهاجمين باستخدام Boosts لاختراق أنظمة أهدافهم.
وتُعد القدرة على تخصيص مواقع الويب بمنزلة أحد المزايا التي يتميز بها المتصفح عن منافسيه.
وتتيح الميزة المسماة Boosts للمستخدمين تغيير لون خلفية موقع الويب، والتبديل إلى خط يفضلونه أو خط يسهل عليهم قراءته وحتى إزالة العناصر غير المرغوب فيها من الصفحة.
ولا يُفترض أن تكون التعديلات مرئية لأي شخص آخر، مع أنه يمكنهم تبادلها عبر الأجهزة.
وفي تدوينة بخصوص الثغرة كتبتها الباحثة الأمنية المعروفة باسم xyzeva، أوضحت أن Browser Company استخدمت قاعدة البيانات بصفتها خدمة خلفية Firebase لدعم العديد من مزايا Arc.
وفيما يتعلق بميزة Boosts، على وجه الخصوص، فإن الشركة تستخدم Firebase لتبادل التخصيصات عبر الأجهزة ومزامنتها.
وأظهرت xyzeva كيف يعتمد المتصفح على هوية المنشئ creatorID لتحميل Boosts عبر الجهاز، كما أوضحت كيف يمكن لشخص ما تغيير هذا العنصر إلى علامة تعريف هدفه وتعيين Boosts المستهدفة التي أنشأها.
وفي حال أنشأ أحد المهاجمين Boosts ضارة، فإن بإمكانه تغيير معرف المنشئ إلى معرف المنشئ للهدف المقصود.
وعندما تزور الضحية المقصودة موقع الويب عبر Arc، فإنه ينزل البرامج الضارة للمخترق دون علمه.
وأوضحت الباحثة أنه من السهل جدًا الحصول على معرفات المستخدم للمتصفح، إذ يتبادل المستخدم الذي يحيل شخصًا ما إلى Arc معرفه مع المستلم، وإذا أنشأ أيضًا حسابًا من إحالة، فإن الشخص الذي أرسله يحصل أيضًا على معرفه.
ويمكن للمستخدمين أيضًا تبادل Boosts مع الآخرين، ولدى Arc صفحة تحتوي على Boosts عامة تتضمن معرفات المنشئ للأشخاص الذين صنعوها.
وقالت Browser Company إن xyzeva أخطرتها بخصوص مشكلة الأمان في تاريخ 25 أغسطس وأنها أصدرت إصلاحًا بمساعدة الباحثة.
كما أكدت للمستخدمين أنه لم يتمكن أحد من استغلال الثغرة الأمنية، ولم يتأثر أي مستخدم. كما نفذت الشركة مجموعة من التدابير الأمنية لمنع حدوث موقف مماثل، ويشمل ذلك الانتقال من Firebase وتعطيل جافا سكربت عبر Boosts المتزامنة افتراضيًا وإنشاء برنامج مكافأة الأخطاء وتوظيف مهندس أمان جديد.