پژوهشگر امنیتیای به نام xyz3va در وبلاگ خود از کشف مشکل امنیتی فاجعهبار در مرورگر آرک (Arc) پرده برداشت. این آسیبپذیری به هکرها اجازه میداد فقط با دانستن شناسهی کاربری (UserID) قربانی، کد دلخواه را به شکل نامحسوس در مرورگر کاربران تزریق کنند.
Browser Company بلافاصله پس از گزارش آسیبپذیری خطرناک (CVE-2024-45489) آن را رفع کرد. بر اساس بیانیه رسمی توسعهدهندهی آرک، هیچ کاربری تحتتأثیر مشکل امنیتی قرار نگرفته است.
دلیل آسیبپذیری مهم آرک، پیکربندی اشتباه سرویس ابری Firebase در این مرورگر بود. فایربیس که بهعنوان سرویس پایگاهداده عمل میکند، برای ذخیرهسازی اطلاعات کاربری ازجمله Arc Boosts استفاده میشود. Arc Boosts به کاربران اجازه میدهد ظاهر وبسایتهای مورد نظر خود را شخصیسازی کنند.
به گفتهی xyz3va، قابلیت Arc Boost در مرورگر آرک میتواند حاوی کد Javascript دلخواه باشد و این ویژگیها در Firebase Firestore ذخیره میشوند. مرورگر مذکور ازطریق فیلد creatorID مشخص میکند کدام Boosts باید استفاده شود و بدینترتیب میتوان فیلد creatorID را به دلخواه به شناسهی کاربری هر شخصی تغییر داد.
برای بهدستآوردن شناسهی کاربری در مرورگر آرک میتوان از روشهای مختلفی مانند لینکهای معرف یا Boosts عمومی استفاده کرد. هکرها با داشتن این اطلاعات میتوانستند Boost حاوی کد دلخواه خود را ایجاد و بدون نیاز به هیچ اقدامی از طرف قربانی، آن را به اکانت آرک او اضافه کنند.
خوشبختانه Browser Company واکنش سریعی نشان داد. xyz3va باگ مرورگر آرک را به یکی از بنیانگذاران شرکت مذکور گزارش داد و ظرف چند دقیقه نحوهی سوءاستفاده از آن را بهنمایش گذاشت. در نهایت باگ امنیتی یکروز پس از ثبت گزارش، برطرف شد.
source