L'une des fonctions qui distingue le navigateur Arc de ses concurrents est la possibilité de personnaliser les sites web. Cette fonction permet aux utilisateurs de modifier la couleur de fond d'un site web, de passer à une police qui leur plaît ou qui facilite la lecture, et même de supprimer complètement des éléments indésirables de la page. Les modifications ne doivent pas être visibles pour les autres, mais peuvent être partagées sur différents appareils. Or, le développeur d'Arc, The Browser Company, a admis qu'un chercheur en sécurité avait découvert une grave faille qui aurait permis à des pirates de compromettre les systèmes de leurs cibles.
L'entreprise a utilisé Firebase, que le chercheur en sécurité connu sous le nom de "xyzeva" a qualifié de "service de base de données en tant que backend" dans son article sur la vulnérabilité, pour prendre en charge diverses fonctions d'Arc. Il est notamment utilisé pour les boosts afin de partager et de synchroniser les personnalisations entre les appareils. Dans l'article de xyzeva, ils ont montré comment le navigateur a besoin du CreatorID pour charger des boosts sur un appareil. Ils ont également expliqué comment quelqu'un pourrait modifier cet élément dans la balise d'identification de sa cible et attribuer les boosts qu'il a créés à cette cible.
Par exemple, si un acteur malveillant crée un boost avec une charge utile malveillante, il peut simplement changer l'ID du créateur en ID du créateur de sa cible prévue. Si la victime visée visite ensuite le site sur Arc, elle pourrait télécharger à son insu le logiciel malveillant du pirate. Et comme l'a expliqué le chercheur, il est assez facile d'obtenir des ID d'utilisateur pour le navigateur. Un utilisateur qui recommande quelqu'un à Arc transmet son ID au destinataire, et si ce dernier a également créé un compte via une recommandation, le recommandeur reçoit également son ID. Les utilisateurs peuvent également partager leurs boosts avec d'autres, et Arc dispose d'une page de boosts publics contenant les identifiants des personnes qui les ont créés.
Dans son post, l'entreprise de navigateurs a indiqué qu'elle avait été informée du problème de sécurité par xyzeva le 25 août et qu'elle avait publié une solution le jour suivant avec l'aide du chercheur. Elle a également assuré aux utilisateurs que personne n'avait pu exploiter la faille de sécurité et qu'aucun utilisateur n'avait été affecté. L'entreprise a également pris plusieurs mesures de sécurité pour éviter une situation similaire, notamment l'abandon de Firebase, la désactivation par défaut de Javascript pour les boosts synchronisés, la mise en place d'un programme de bug bounty et l'embauche d'un nouvel ingénieur principal en sécurité.
