Récemment, un chercheur en sécurité a dévoilé une vulnérabilité alarmante dans le navigateur Arc, un concurrent de Google. Cette faille, corrigée le 26 août, aurait pu être exploitée par des pirates. Heureusement, l’entreprise assure qu’aucune victime n’a été identifiée.
Le navigateur Arc est une alternative moderne à Google Chrome proposée par The Browser Company. Récemment, une vulnérabilité critique, identifiée sous le code CVE-2024-45489, a été découverte par le chercheur connu sous le pseudonyme xyz3va.
Une faille critique découverte dans Arc
Au fait, Arc propose une fonctionnalité appelée Boosts, permettant de modifier l’apparence des sites Web avec du CSS ou du Javascript. Pour éviter les problèmes de sécurité liés à ce dernier, Arc n’a pas rendu les Boosts partageables entre utilisateurs. Cependant, ils sont synchronisés avec le serveur pour être accessibles sur tous les appareils.
Pour gérer le stockage et la synchronisation des Boosts, Arc utilise un outil appelé Firebase comme backend. Malheureusement, une mauvaise configuration de ce Firebase a permis aux utilisateurs de modifier l’ID créateur des Boosts. Ce qui permet d’attribuer n’importe quel Boost à n’importe quel utilisateur. Il suffit d’avoir un ID utilisateur.
Comme l’explique xyz3va :
- Les Boosts d’Arc peuvent intégrer du Javascript non sécurisé.
- Les Boosts sont stockés dans Firestore.
- Le navigateur Arc récupère les Boosts via le champ creatorID.
- Nous pouvons modifier ce champ creatorID avec n’importe quel identifiant d’utilisateur.
Le pire ?
Il existe plusieurs façons de récupérer l’ID de créateur d’un utilisateur. N’importe qui peut en obtenir via des liens de parrainage, des contenus partagés ou encore des Boosts publiés publiquement…
Et grâce à cela, un hacker aurait pu concevoir un Boost avec du code malveillant. Il peut ensuite l’ajouter directement au compte Arc d’un utilisateur, sans que celui-ci s’en rende compte.
Après que xyz3va a signalé la brèche, The Browser Company a rapidement réagi. La faille a été corrigée le 26 août, mais sa découverte n’a été rendue publique que récemment. L’entreprise rassure toutefois qu’aucun utilisateur n’a été impacté par celle-ci.
Pour éviter de futurs incidents, l’entreprise a annoncé une série de mesures. Abandon de Firebase pour le stockage des Boosts, désactivation de la possibilité d’ajouter du JavaScript personnalisé dans les Boosts synchronisés et mise en place d’un programme de primes aux bugs… La société prévoit aussi de renforcer son équipe dédiée à la sécurité.
Reste à savoir si ces mesures suffiront à restaurer la confiance des utilisateurs. C’est difficile à dire j’imagine, surtout que le mal est déjà fait. La société s’est tellement concentrée sur l’expérience utilisateur et la personnalisation qu’elle a négligé un détail essentiel : la protection des données et la sécurité des utilisateurs.
Et vous, qu’est-ce que vous en pensez ?
- Partager l'article :