No final de agosto, a The Browser Company – a empresa por trás do popular navegador Mac Arc, tomou conhecimento de uma grave vulnerabilidade de segurança no navegador, que poderia permitir a execução remota de código no computador de outros usuários sem interação direta. Eles corrigiram-no imediatamente assim que foram alertados sobre isso, e os detalhes da vulnerabilidade foram divulgado na semana passada.
Atualização em 28 de setembro: Depois de apenas uma semana, a The Browser Company concluiu uma série de falhas de segurança. Josh Miller, CEO da The Browser Company, postou um tweet na sexta-feira, descrevendo todas as mudanças que fizeram. Isso inclui o prometido programa de recompensas por bugs, seu novo boletim de segurança, bem como outras mudanças internas relacionadas aos procedimentos de segurança.
Além disso, eles aumentou O pagamento de recompensa de xyz3va de US$ 2 mil a US$ 20 mil, e o CEO pessoalmente ofereceu-lhes um emprego se eles estivessem interessados. História original abaixo:
O Incidente
A Browser Company confirmou que a vulnerabilidade não afetou nenhum usuário e você não precisa atualizar o Arc para permanecer protegido. A empresa afirmou que este foi o “primeiro incidente de segurança sério na vida da Arc”.
Pesquisador de segurança xyz3va relatou isso em particular para Arc, e você pode ler seus redação completa sobre o assunto, se desejar. Em essência, o Arc possui um recurso chamado Boost, que permite aos usuários personalizar sites com seu próprio CSS e JavaScript. A Arc sabia que compartilhar JavaScript personalizado poderia ser arriscado, então eles nunca permitiram oficialmente que os usuários compartilhassem Boosts que incluíssem JavaScript personalizado. No entanto, esta exploração encontrou uma lacuna nesse sistema.
Essencialmente, o Arc ainda salva boosts personalizados com JavaScript em seu servidor, o que lhes permite sincronizar entre dispositivos. Arc usou o Firebase como back-end para certos recursos, mas sua configuração mal configurada do Firebase permitiu que os usuários alterassem o creatorID de um boost após sua criação.
Isso é um problema porque se você conseguisse obter outro ID de usuário, poderia alterar o ID associado ao boost e então esse boost seria sincronizado com o computador desse usuário. Não é ótimo.
Havia várias maneiras de obter o ID de usuário de outra pessoa, incluindo:
- Obtendo sua referência, que conteria seu ID de usuário
- Verificando se eles publicaram algum boost, que também teria seu ID de usuário
- Olhando para o cavalete compartilhado de alguém (essencialmente um quadro branco), onde você também pode obter o ID do usuário
Mais uma vez, vale a pena enfatizar que esta exploração nunca foi realmente aproveitada. No entanto, poderia ter sido muito ruim, e a The Browser Company ainda está tomando medidas para aliviar os problemas no futuro.
Como eles estão abordando isso
A partir de agora, o JavaScript será desativado por padrão nos Boosts sincronizados, evitando que ataques semelhantes aconteçam no futuro. Você terá que ativar explicitamente o JavaScript personalizado em outros dispositivos daqui para frente.
Além disso, eles planejam sair do Firebase para novos recursos e produtos, e também adicionarão mitigações de segurança às notas de lançamento do Arc, estabelecendo transparência adicional.
Eles também planejam contratar mais pessoas para a equipe de segurança e contrataram recentemente um novo engenheiro de segurança.
O pesquisador que relatou esse problema recebeu uma recompensa de segurança de US$ 2.000, algo que a The Browser Company tradicionalmente não faz. No entanto, daqui para frente, eles querem ter um processo mais claro em torno das recompensas.