Eine der Funktionen, die den Arc-Browser von seinen Konkurrenten unterscheidet, ist die Möglichkeit, Websites individuell zu gestalten. Mit dieser Funktion können Benutzer die Hintergrundfarbe einer Website ändern, zu einer Schriftart wechseln, die ihnen gefällt oder das Lesen erleichtert, und sogar unerwünschte Elemente vollständig von der Seite entfernen. Die Änderungen sollen für andere nicht sichtbar sein, können aber auf verschiedenen Geräten gemeinsam genutzt werden. Nun hat der Entwickler von Arc, The Browser Company, zugegeben, dass ein Sicherheitsforscher eine schwerwiegende Schwachstelle entdeckt hat, die es Angreifern ermöglicht hätte, die Systeme ihrer Ziele zu kompromittieren.
Das Unternehmen verwendete Firebase, das der Sicherheitsforscher, der unter dem Namen „xyzeva“ bekannt ist, in seinem Artikel über die Schwachstelle als „Datenbank-as-a-Backend-Dienst“ bezeichnete, um verschiedene Funktionen von Arc zu unterstützen. Insbesondere wird er für Boosts verwendet, um Anpassungen zwischen Geräten zu teilen und zu synchronisieren. Im Beitrag von xyzeva zeigten sie, wie der Browser die CreatorID benötigt, um Boosts auf ein Gerät zu laden. Sie erklärten auch, wie jemand dieses Element in den Identifikations-Tag seines Ziels ändern und die von ihm erstellten Boosts diesem Ziel zuweisen könnte.
Wenn beispielsweise ein böswilliger Akteur einen Boost mit einer schädlichen Nutzlast erstellt, kann er einfach die Ersteller-ID in die Ersteller-ID seines beabsichtigten Ziels ändern. Wenn das anvisierte Opfer dann die Website auf Arc besucht, könnte es unwissentlich die Malware des Hackers herunterladen. Und wie der Forscher erklärte, ist es ziemlich einfach, an Benutzer-IDs für den Browser zu gelangen. Ein Benutzer, der jemanden an Arc weiterempfiehlt, gibt seine ID an den Empfänger weiter, und wenn dieser auch ein Konto über eine Empfehlung erstellt hat, erhält der Empfehlungsgeber auch seine ID. Nutzer können ihre Boosts auch mit anderen teilen, und Arc hat eine Seite mit öffentlichen Boosts, die die IDs der Personen enthalten, die sie erstellt haben.
In seinem Post gab das Browserunternehmen an, dass es am 25. August von xyzeva über das Sicherheitsproblem informiert wurde und einen Tag später mit Hilfe des Forschers eine Lösung veröffentlichte. Es versicherte den Nutzern außerdem, dass niemand die Sicherheitslücke ausnutzen konnte und kein Nutzer betroffen war. Das Unternehmen hat außerdem mehrere Sicherheitsmaßnahmen ergriffen, um eine ähnliche Situation zu verhindern, darunter die Abkehr von Firebase, die standardmäßige Deaktivierung von Javascript bei synchronisierten Boosts, die Einrichtung eines Bug-Bounty-Programms und die Einstellung eines neuen leitenden Sicherheitsingenieurs.
