Середа, 29 Квітня, 2026
Arc браузер має критичну вразливість - виявлена серйозна загроза через функцію Boosts
Софт

Arc браузер має критичну вразливість через функцію Boosts

Vitaliy Kairov , 295 переглядів 1 хв. читання
⠀Поширити:

Arc – новий браузер, що відрізняється від конкурентів можливістю налаштовувати вебсайти під себе. Користувачі можуть змінювати кольори фону, шрифти, а також видаляти небажані елементи зі сторінки за допомогою функції Boosts. Хоча зміни не повинні бути видимі іншим користувачам, їх можна синхронізувати на різних пристроях. Проте нещодавно компанія-виробник Arc визнала, що знайдена серйозна вразливість, яка могла дати змогу хакерам зламати системи користувачів. Про це пише Engadget.

Згідно з інформацією, яку надав дослідник з безпеки, відомий під псевдонімом xyzeva, браузер Arc використовує сервіс Firebase для підтримки кількох функцій, зокрема Boosts. Firebase працює як база даних для синхронізації налаштувань користувача між його пристроями.

Проблема полягала в тому, що браузер визначав налаштування Boosts за допомогою creatorID – унікального ідентифікатора творця. Це дозволяло зловмисникам підмінити цей ідентифікатор і присвоїти налаштування зі шкідливим кодом будь-якому користувачеві.

Наприклад, хакер міг створити Boost зі шкідливим кодом і змінити свій creatorID на ідентифікатор жертви. Як тільки жертва відкривала відповідний вебсайт у браузері Arc, вона могла непомітно завантажити шкідливий код, що викликало б компрометацію системи.

Отримати creatorID користувачів браузера Arc було досить просто. Arc дозволяє ділитися Boosts з іншими користувачами, а також створює публічні сторінки з Boosts, які містять creatorID їхніх авторів. Крім того, ID можна отримати через реферальну систему браузера, що робить цю інформацію легко доступною.

Browser Company, яка розробляє Arc, заявила, що xyzeva повідомив про вразливість 25 серпня. Вже наступного дня компанія випустила оновлення, яке виправило проблему, працюючи у тісній співпраці з дослідником. Крім того, компанія зазначила, що жоден користувач не постраждав, оскільки вразливість не була експлуатована до її усунення.

Channel Tech в Telegram Актуальні новини та аналітика
Підписатися

Зміни в безпеці браузера Arc

Після виявлення проблеми компанія впровадила кілька заходів для посилення безпеки:

  • Перехід від Firebase до іншої платформи.
  • Відключення Javascript за замовчуванням для синхронізованих Boosts.
  • Запуск програми пошуку багів.
  • Найм нового старшого інженера з безпеки.
Channel Tech в Google News Актуальні новини та аналітика
Читати


⠀Поширити:

Vitaliy Kairov

Засновник видання. Пишу про технології, гаджети та софт. Ціную об'єктивність, якісний звук та лаконічність.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *