Een ernstige fout in de Arc-browser maakt het mogelijk voor hackers om willekeurige JavaScript-code uit te voeren binnen de browser van elke gebruiker, als die tenminste het user-ID kenden. Dat heeft een security-onderzoeker met het alias ‘xyz3va’ ontdekt, die daarvoor prompt werd beloond met 2000 dollar. En dat terwijl The Browser Company, de maker van Arc, helemaal geen bug bounty-programma had.
De kwetsbaarheid, bekend als CVE-2024-45489, zit alleen in Arc, niet in andere browsers gebaseerd op Chromium. De fout zat in de ‘Boosts’-feature van Arc, waarmee gebruikers websites kunnen aanpassen met custom CSS en JavaScript. De browser slaat deze aanpassingen op in Firebase, de Google-dienst die voorziet in real-time databases, analytics, storage en monitoring.
Door een fout in de configuratie van de Firebase Access Control Lists (ACL’s) was het mogelijk om de CreatorID van een Boost te wijzigen. Hierdoor konden aanvallers een malafide Boost aan gebruikers toekennen, die ze vervolgens automatisch konden activeren bij het bezoeken van de website waarvoor de Boost was aangemaakt.
Een dag na melding verholpen
De fout werd al op 25 augustus gemeld bij The Browser Company, die deze binnen een dag had verholpen. Er is geen bewijs voor dat de fout actief is uitgebuit en er is vanuit gebruikers geen verdere actie nodig, al was er voor The Browser Company zelf het nodige werk aan de winkel: als reactie op het incident schakelt Arc inmiddels namelijk standaard JavaScript uit in gesynchroniseerde Boosts, gebruikt het niet langer Firebase voor nieuwe features, worden bestaande ACL’s door The Browser Company geaudit en is er een security-engineer aangenomen. Ook is er een bugbountyprogramma opgezet.
Aanvullende maatregelen zijn onder andere het toevoegen van Mobile Device Management (MDM)-controles en het uitbreiden van release notes met security-details. Verder heeft het bedrijf een senior security engineer aangenomen.
Nieuwe speler, volwassen problemen
Arc is een relatief nieuwe speler in de browser- en zoekmachine-markt die verfrissende ideeën naar de digitale ervaring wil brengen. Nu Europese en buitenlandse regulatoren er strenger op toezien dat de macht van Big Tech nieuwe spelers op de markt niet onmiddellijk laat doodbloeden, heeft Arc ogenschijnlijk het tij mee. Een partijtje meeblazen met de grote jongens betekent echter ook dealen met security-incidenten. Dit was het eerste incident van enige omvang voor de jonge browser.
De onderzoeker die het incident aan het licht bracht, wist ook te melden dat Arc data verwerkt over bezochte sites, ondanks dat in de eigen voorwaarden staat dat Arc dit niet trackt. Dit wordt blijkbaar ook aangepast vanaf versie v1.61.1. Dit tracken gebeurde overigens alleen wanneer de Boost editor open stond, de data werd volgens The Browser Company nergens gelogd. Desondanks ‘had dit nooit in het product moeten zitten’ en belooft het bedrijf deze tracking uit te schakelen.
Lees ook: Arc-browser wil multitaskers de beste ervaring op Windows bezorgen