Arc Browser resuelve vulnerabilidad clave detectada anteriormente.

A finales de agosto, The Browser Company, la empresa responsable del popular navegador Arc para Mac, identificó una vulnerabilidad crítica en el navegador que permitía la ejecución remota de código en dispositivos de otros usuarios sin interacción directa. A pesar de que la empresa parchó la vulnerabilidad rápidamente tras ser alertada, es importante conocer los detalles de esta amenaza. Según The Browser Company, esta falla de seguridad no ha afectado a ningún usuario hasta el momento y no se requiere una actualización inmediata de Arc para garantizar la protección. La compañía destacó que este incidente representó el «primer caso grave de seguridad en la historia de Arc».

El investigador de seguridad xyz3va realizó un reporte confidencial a Arc, señalando que la vulnerabilidad descubierta estaba relacionada con la función Boost, la cual permite a los usuarios personalizar sus sitios web con CSS y JavaScript propios. Aunque Arc había establecido que el intercambio de JavaScript personalizado podía conllevar riesgos, nunca autorizó oficialmente el intercambio de Boost que incluyera JavaScript personalizado. Sin embargo, el atacante encontró una vulnerabilidad en este sistema, lo cual representaba un peligro potencial.

En resumen, Arc aún emplea JavaScript para almacenar las mejoras personalizadas en sus servidores para sincronizarlas entre dispositivos. Asimismo, Arc utiliza Firebase como backend para algunas funciones, encontrándose una configuración incorrecta que permitía a los usuarios modificar su ID de creador después de haber creado una mejora. Esta situación generaba una potencial vulnerabilidad, ya que si un usuario lograba obtener la identificación de otro, podía cambiarla por la suya y sincronizar las mejoras en la máquina de dicho usuario, lo cual representaba un serio riesgo.

Existen diversas formas de obtener los IDs de usuario de otros, como revisar sus recomendaciones que contienen dicha información, verificar si han publicado contenido promocionado que también incluya su ID de usuario, o acceder al tablón compartido de alguien para obtener dicha información. A pesar de que esta vulnerabilidad no ha sido explotada hasta el momento, las consecuencias podrían ser severas, motivo por el cual The Browser Company está implementando medidas para mitigar problemas futuros.

Para abordar este problema, JavaScript en Sync Boost estará desactivado de manera predeterminada para prevenir ataques similares en el futuro. La empresa también tiene previsto incorporar Firebase en nuevas funciones y productos, así como introducir mitigaciones de seguridad en las notas de versión de Arc para brindar mayor transparencia. Además, tienen planes de ampliar su equipo de seguridad y recientemente han contratado a un nuevo ingeniero especializado en esta área.

Es relevante mencionar que el investigador que reportó la vulnerabilidad recibió una recompensa de seguridad de 2.000 dólares, algo que nunca antes había hecho una empresa de navegadores. The Browser Company tiene la intención de definir un proceso de recompensas más claro en el futuro, demostrando su compromiso con la seguridad de sus usuarios.