Se usa o Arc tenha muito cuidado! Tem falha de segurança grave que o pode expor
Com um mercado tão completo, é por vezes difícil escolher um browser para lá do óbvio Chrome, Firefox ou Edge. Importa assim descartar-se da concorrência e oferecer o máximo aos utilizadores. O Arc tem essa capacidade, mas agora sabe-se que o que o torna único é também o que lhe traz problemas, com uma falha de segurança grave que pode expor o utilizador.
Arc tem uma falha de segurança grave
Uma das características que diferencia o navegador Arc dos seus concorrentes é a capacidade de personalizar sites. A funcionalidade chamada “Boosts” permite aos utilizadores alterar a cor de fundo de um site, mudar para um tipo de letra da sua preferência ou que facilite a leitura e até remover completamente elementos indesejados da página.
As suas alterações não devem ser visíveis para mais ninguém, mas podem partilhá-las entre dispositivos. A criadora do Arc, a Browser Company, admitiu que um investigador de segurança encontrou uma falha grave que teria permitido aos atacantes usar Boosts para comprometer os sistemas dos seus alvos.
Na publicação de xyzeva fica clara a falha e mostraram como o browser depende da identificação do criador (creatorID) para carregar o Boosts num dispositivo. Partilharam também como alguém poderia alterar esse elemento para a etiqueta de identificação do seu alvo e atribuir a esse alvo os Boosts que criaram.
Browser tem problema com que o torna único
Se um atacante fizer um Boost com uma carga maliciosa, poderá simplesmente alterar o seu creatorID para o creatorID do alvo pretendido. Quando a vítima visita o site do Arc, pode descarregar o malware do hacker sem saber. E, como explicou o investigador, é muito fácil obter IDs de utilizador para o browser.
Na sua publicação, a Browser Company disse que a xyzeva a notificou sobre o problema de segurança a 25 de agosto e que emitiu uma correção um dia depois com a ajuda do investigador. Também garantiu aos utilizadores que ninguém exploraria a vulnerabilidade e nenhum utilizador seria afetado.
A empresa também implementou várias medidas de segurança para evitar uma situação semelhante. Inclui-se a saída do Firebase, a desativação do Javascript nos Boosts sincronizados por defeito, o estabelecimento de um programa de recompensas por bugs e a contratação de um novo engenheiro de segurança sénior.