允许自定义网站的 Arc 浏览器存在严重漏洞

Arc Browser 区别于竞争对手的功能之一是能够自定义网站。功能称为“援军“它允许用户更改网站的背景颜色，切换到他们喜欢的字体或更容易阅读的字体，甚至从页面中完全删除不需要的元素。他们的编辑不应该对其他人可见。 ，但他们可以跨设备共享它们，现在，Arc 的创建者 Browser Company 将其覆盖范围扩大到 10 个…… 我承认 安全研究人员发现了一个严重缺陷，攻击者可以利用该缺陷利用 Boost 来破坏目标系统。

该公司使用了 Firebase，一位名为“xyzeva”的安全研究人员在他们的项目中将其描述为“作为后端的数据库服务”。 关于该漏洞的帖子支持许多 Arc 功能。特别是对于 Boosts，它用于跨设备共享和同步自定义内容。在 xyzeva 的帖子中，他们展示了浏览器如何依赖 CreatorID 在设备上加载 Boost。他们还分享了任何人如何可以将此项目更改为其目标元标记并设置他们创建的目标增强。

例如，如果不良行为者使用恶意有效负载创建 Boost，他们可以简单地将其创建者 ID 更改为预期目标的创建者 ID。当目标受害者访问 Arc 的网站时，他或她可能会在不知不觉中下载黑客的恶意软件。正如研究人员所解释的，获取浏览器用户 ID 非常容易。将某人推荐给 Arc 的用户将与收件人共享他们的 ID，如果他们也通过推荐创建帐户，则发送他们的人也将获得他们的 ID。用户还可以与其他人分享他们的Boosts，Arc有一个包含公共Boosts的页面，其中包含创建它们的人的创建者ID。

该浏览器公司在帖子中表示，xyzeva 于 8 月 25 日向其通报了该安全问题，并于第二天在研究人员的帮助下发布了修复程序。它还向用户保证，没有人能够利用该漏洞，也没有用户受到影响。该公司还实施了多项安全措施来防止类似情况的发生，包括从 Firebase 迁移、默认在同步 Boost 上禁用 Javascript、创建错误赏金计划以及聘请新的高级安全工程师。