Pod koniec sierpnia The Browser Company – firma stojąca za popularną przeglądarką Mac Arc, dowiedziała się o poważnej luce w zabezpieczeniach przeglądarki, która mogła umożliwić zdalne wykonanie kodu na komputerze innego użytkownika bez bezpośredniej interakcji. Natychmiast ją załatali, gdy tylko zostali o tym powiadomieni, a szczegóły dotyczące luki zostały ujawniono kilka dni temu.
Incydent
Według The Browser Company, żaden użytkownik nie został dotknięty luką i nie trzeba aktualizować Arc, aby być chronionym. Firma stwierdziła, iż był to „pierwszy poważny incydent bezpieczeństwa w historii Arc”.
Badacz ds. bezpieczeństwa xyz3va zgłosiłem to prywatnie do Arc i możesz przeczytać ich pełny opis w tej sprawie, jeżeli chcesz. W istocie Arc ma funkcję o nazwie Boost, która pozwala użytkownikom dostosowywać witryny dzięki własnego CSS i JavaScript. Arc wiedział, iż udostępnianie niestandardowego JavaScript może być ryzykowne, więc nigdy oficjalnie nie zezwolił użytkownikom na udostępnianie Boostów, które zawierały niestandardowy JavaScript. Jednak ten exploit znalazł lukę w tym systemie.
Zasadniczo Arc przez cały czas zapisywał niestandardowe wzmocnienia dzięki JavaScript na swoim serwerze, co pozwalało na synchronizację między urządzeniami. Arc używał również Firebase jako zaplecza niektórych funkcji Arc, a ich konfiguracja Firebase była błędnie skonfigurowana, co pozwalało użytkownikom na zmianę creatorID wzmocnienia po jego utworzeniu.
To jest problem, ponieważ jeżeli udałoby Ci się uzyskać identyfikator innego użytkownika, mógłbyś zmienić identyfikator powiązany z wzmocnieniem, a następnie wzmocnienie to zsynchronizowałoby się z komputerem tego użytkownika. Nie jest to świetne.
Istniało wiele sposobów, w jaki można było uzyskać czyjś identyfikator użytkownika, w tym:
- Uzyskiwanie polecenia zawierającego identyfikator użytkownika
- Sprawdzanie, czy opublikowali jakieś wzmocnienia, które również zawierałyby ich identyfikator użytkownika
- Patrząc na udostępnioną przez kogoś sztalugę (w zasadzie tablicę), można również uzyskać jej identyfikator użytkownika
Warto jeszcze raz podkreślić, iż ten exploit nigdy nie został faktycznie wykorzystany. Mogło być jednak bardzo źle, a The Browser Company przez cały czas podejmuje kroki, aby złagodzić problemy w przyszłości.
Jak sobie z tym radzą
Od teraz JavaScript będzie domyślnie wyłączony w zsynchronizowanych Boosts, zapobiegając podobnym atakom w przyszłości. Będziesz musiał jawnie włączyć niestandardowy JavaScript na innych urządzeniach w przyszłości.
Dodatkowo planują odejść od Firebase w przypadku nowych funkcji i produktów, a także dodać zabezpieczenia do informacji o wydaniach Arc, aby zapewnić większą przejrzystość.
Planują również zatrudnienie większej liczby osób do zespołu ds. bezpieczeństwa i niedawno zatrudnili nowego inżyniera ds. bezpieczeństwa.
Badacz, który zgłosił ten problem, otrzymał nagrodę bezpieczeństwa w wysokości 2000 USD, czego The Browser Company tradycyjnie nie robiło. Jednak w przyszłości chcą mieć jaśniejszy proces dotyczący nagród.
Obserwuj Michaela: X/Twitter, Wątki
FTC: Używamy linków afiliacyjnych generujących dochód. Więcej.
