سان فرانسيسكو: وكالات

اعترفت Browser Company، وهي الشركة المصنعة لمتصفح Arc، بأن باحثة أمنية وجدت خللًا خطيرًا كان يسمح للمهاجمين باستخدام Boosts لاختراق أنظمة أهدافهم.وتُعد القدرة على تخصيص مواقع الويب بمنزلة أحد المزايا التي يتميز بها المتصفح عن منافسيه. وتتيح الميزة المسماة Boosts للمستخدمين تغيير لون خلفية موقع الويب، والتبديل إلى خط يفضلونه أو خط يسهل عليهم قراءته وحتى إزالة العناصر غير المرغوب فيها من الصفحة.
ولا يُفترض أن تكون التعديلات مرئية لأي شخص آخر، مع أنه يمكنهم تبادلها عبر الأجهزة.
وفي تدوينة بخصوص الثغرة كتبتها الباحثة الأمنية المعروفة باسم xyzeva، أوضحت أن Browser Company استخدمت قاعدة البيانات بصفتها خدمة خلفية Firebase لدعم العديد من مزايا Arc.وفي ما يتعلق بميزة Boosts، على وجه الخصوص، فإن الشركة تستخدم Firebase لتبادل التخصيصات عبر الأجهزة ومزامنتها.وأظهرت xyzeva كيف يعتمد المتصفح على هوية المنشئ creatorID لتحميل Boosts عبر الجهاز، كما أوضحت كيف يمكن لشخص ما تغيير هذا العنصر إلى علامة تعريف هدفه وتعيين Boosts المستهدفة التي أنشأها. وفي حال أنشأ أحد المهاجمين Boosts ضارة، فإن بإمكانه تغيير معرف المنشئ إلى معرف المنشئ للهدف المقصود.
وعندما تزور الضحية المقصودة موقع الويب عبر Arc، فإنه ينزل البرامج الضارة للمخترق دون علمه.
وأوضحت الباحثة أنه من السهل جدًا الحصول على معرفات المستخدم للمتصفح، إذ يتبادل المستخدم الذي يحيل شخصًا ما إلى Arc معرِّفه مع المستلم، وإذا أنشأ أيضًا حسابًا من إحالة، فإن الشخص الذي أرسله يحصل أيضًا على معرفه.ويمكن للمستخدمين أيضًا تبادل Boosts مع الآخرين، ولدى Arc صفحة تحتوي على Boosts عامة تتضمن معرفات المنشئ للأشخاص الذين صنعوها.
وقالت Browser Company إن xyzeva أخطرتها بخصوص مشكلة الأمان في تاريخ 25 أغسطس وإنها أصدرت إصلاحًا بمساعدة الباحثة.