Una delle caratteristiche che distinguono il browser Arc dai suoi concorrenti è la possibilità di personalizzare i siti web. Grazie a questa funzione, gli utenti possono cambiare il colore dello sfondo di un sito web, passare a un font di loro gradimento o che faciliti la lettura e persino rimuovere completamente gli elementi indesiderati dalla pagina. Le modifiche non devono essere visibili agli altri, ma possono essere condivise su diversi dispositivi. Ora lo sviluppatore di Arc, The Browser Company, ha ammesso che un ricercatore di sicurezza ha scoperto una grave vulnerabilità che avrebbe potuto permettere agli aggressori di compromettere i sistemi dei loro obiettivi.
L'azienda ha utilizzato Firebase, che il ricercatore di sicurezza noto come "xyzeva" ha definito "database-as-a-backend service" nel suo articolo sulla vulnerabilità, per supportare diverse funzioni di Arc. In particolare, viene utilizzato da boost per condividere e sincronizzare le personalizzazioni tra i dispositivi. Nel post di xyzeva è stato mostrato come il browser richieda il CreatorID per caricare i boost su un dispositivo. Ha anche spiegato come si possa cambiare questo elemento con il tag di identificazione del proprio obiettivo e assegnare i boost creati a quell'obiettivo.
Ad esempio, se un attore malintenzionato crea un boost con un payload dannoso, può semplicemente cambiare l'ID del creatore con l'ID del creatore del suo obiettivo. Se poi la vittima bersaglio visita il sito web su Arc, potrebbe scaricare inconsapevolmente il malware dell'hacker. Come ha spiegato il ricercatore, è piuttosto facile ottenere gli ID utente per il browser. Un utente che rimanda qualcuno ad Arc fornisce il proprio ID al destinatario e, se anche quest'ultimo ha creato un account tramite un rinvio, anche il rinviante ottiene il proprio ID. Gli utenti possono anche condividere i loro boost con altri utenti e Arc ha una pagina di boost pubblici che contengono gli ID delle persone che li hanno creati.
Nel suo post, l'azienda produttrice del browser ha dichiarato di essere stata informata del problema di sicurezza da xyzeva il 25 agosto e di aver pubblicato una soluzione un giorno dopo con l'aiuto del ricercatore. Ha inoltre assicurato agli utenti che nessuno è stato in grado di sfruttare la vulnerabilità e che nessun utente è stato colpito. L'azienda ha inoltre adottato diverse misure di sicurezza per evitare il ripetersi di situazioni simili, tra cui l'abbandono di Firebase, la disabilitazione di Javascript per impostazione predefinita sui boost sincronizzati, l'istituzione di un programma di bug bounty e l'assunzione di un nuovo senior security engineer.
