ثغرة خطيرة فى متصفح Arc الذى يسمح لك بتخصيص مواقع الويب
من بين الميزات التي تميز Arc عن منافسيها هي القدرة على تخصيص مواقع الويب. تتيح الميزة التي تسمى “Boosts” للمستخدمين تغيير لون خلفية موقع الويب، والتبديل إلى الخط الذي يفضلونه أو الخط الذي يسهل عليهم قراءته، وحتى إزالة العناصر غير المرغوب فيها من الصفحة بالكامل.
لا يُفترض أن تكون تعديلاتها مرئية لأي شخص آخر، ولكن يمكن مشاركتها عبر الأجهزة، والآن، اعترفت شركة Browser Company، مبتكر Arc، بأن باحثًا أمنيًا وجد ثغرة أمنية حرجة يمكن أن تسمح للمهاجمين باستخدام التحسينات لاختراق أنظمة أهدافهم.
استخدمت الشركة نظام Firebase، والذي وصفه باحث أمني يُعرف باسم “xyzeva” في منشوره حول الثغرة الأمنية بأنه “خدمة قاعدة بيانات كخدمة خلفية”، لتشغيل العديد من ميزات Arc.
بالنسبة إلى Boosts، على وجه الخصوص، يتم استخدامها لمشاركة التخصيصات ومزامنتها عبر الأجهزة.
في منشور xyzeva، أظهروا كيف يعتمد المتصفح على CreatorID لتحميل التعزيزات على الجهاز، كما شاركوا أيضًا كيف يمكن لأي شخص تغيير هذا العنصر إلى معرف الهدف الخاص به وتعيين التعزيزات المستهدفة التي أنشأها له.
على سبيل المثال، إذا قام أحد الجهات الفاعلة السيئة بإجراء تحسين باستخدام حمولة ضارة، فيمكنه ببساطة تغيير معرف المنشئ الخاص به إلى معرف المنشئ للهدف المقصود.
وعندما يقوم الضحية المقصودة بزيارة موقع Arc على الويب، فإنه قد يقوم عن غير قصد بتنزيل البرامج الضارة للمهاجم.
وكما أوضح الباحث، فمن السهل جدًا الحصول على معرفات مستخدم المتصفح، والمستخدم الذي يحيل شخصًا ما إلى Arc سيشارك معرفه مع المتلقي، وإذا أنشأ أيضًا حسابًا من إحالة، فسيحصل الشخص الذي أرسله أيضًا على معرفه.
يمكن للمستخدمين أيضًا مشاركة تعزيزاتهم مع الآخرين، ويوجد لدى Arc صفحة للتعزيزات العامة التي تحتوي على معرفات المبدعين للأشخاص الذين قاموا بإنشائها.
وقالت شركة المتصفح في منشورها إن شركة xyzeva أخطرتها بشأن المشكلة الأمنية في 25 أغسطس/آب، وأصدرت إصلاحًا في اليوم التالي بمساعدة الباحث. كما أكدت للمستخدمين أنه لم يتمكن أحد من استغلال الثغرة، ولم يتأثر أي مستخدم.
كما نفذت الشركة العديد من التدابير الأمنية لمنع حدوث موقف مماثل، بما في ذلك الخروج من Firebase، وتعطيل Javascript في التعزيزات المتزامنة بشكل افتراضي، وإنشاء برنامج مكافأة الأخطاء، وتوظيف مهندس أمان كبير جديد.
لمطالعة المزيد: موقع السفير وللتواصل تابعنا علي فيسبوك الدبلوماسي اليوم و يوتيوب الدبلوماسي اليوم.