Nieuws

Kritiek beveiligingslek opgespoord in Arc-webbrowser

Arc Browser
© The Browser Company
Beveiligingsonderzoeker xyzeva heeft een kritiek lek ontdekt in de Arc-browser van The Browser Company dat aanvallen toeliet zonder dat de gebruiker een website bezocht.

Doorgaans moet je als gebruiker een besmette website bezoeken of vergelijkbare reclame bekijken om het slachtoffer te worden van een kwetsbaarheid in je webbrowser. Hoewel zulke aanvallen niet altijd zichtbaar zijn, moet je er dus wel iets voor doen. Het beveiligingslek in de Arc-webbrowser is volgens beveiligingsonderzoeker Xyzeva van een heel andere categorie. Aanvallers kunnen dit lek namelijk misbruiken zonder enige actie van de gebruiker; ze hoeven daarvoor enkel een user-ID te ontfutselen.

Arc Boosts

Vervolgens kon een aanvaller op afstand JavaScript-code uitvoeren in de Arc-webbrowser van die gebruiker, stelt de beveiligingsonderzoeker. De oorzaak? Een configuratiefout in Firebase, waar Arc de gegevens voor zijn ‘Boosts’-functie opsloeg. Met deze functie kan de webbrowser websites aanpassen met custom CSS- en JavaScript-code. Op zichzelf is er niets mis met deze functie, maar het probleem zat in de configuratie van de Access Control List (ACL) van Firebase.

Door een configuratiefout kon een hacker namelijk de CreatorID van Boosts aanpassen nadat ze waren aangemaakt en zo een malafide Boost toewijzen aan alle Arc-gebruikers. Gebruikers merken daar eigenlijk niets van; de code wordt namelijk stilletjes geactiveerd wanneer je een website bezoekt waarvoor de Boost is aangemaakt.

Of de kwetsbaarheid in de Arc-browser is misbruikt, is niet bekendgemaakt. Wel heeft The Browser Company, de ontwikkelaar van Arc, het lek intussen gedicht. Dit gebeurde bovendien razendsnel: de kwetsbaarheid werd op 25 augustus gemeld en een dag later was er al een oplossing beschikbaar. Naast het dichten van het beveiligingslek heeft de browserontwikkelaar ook aanvullende beveiligingsmaatregelen getroffen. Zo is er een bugbountyprogramma geopend voor het melden van beveiligingslekken en is er een security-engineer aangenomen.

Bovendien heeft The Browser Company toegezegd geen nieuwe functies en producten meer te ontwikkelen in Firebase. Voor de bestaande Boosts geldt dat de JavaScript-functies ervan worden uitgeschakeld om mogelijke beveiligingsincidenten te voorkomen.

Niet in Chromium

Belangrijk om te vermelden is dat dit lek specifiek is voor de Arc-browser. Hoewel Arc is gebaseerd op Googles Chromium, net als bijvoorbeeld Microsoft Edge en Google Chrome, zijn er geen beveiligingsmaatregelen nodig voor die browsers.

arcBeveiligingfirebasethe browser company

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken