تكنولوجيا: ثغرة خطيرة فى متصفح Arc الذى يسمح لك بتخصيص مواقع الويب

القاهرة - سامية سيد - كتبت سماح لبيب

تعد إحدى الميزات التي تميز متصفح Arc عن منافسيه هي القدرة على تخصيص مواقع الويب، وتتيح الميزة المسماة "Boosts" للمستخدمين تغيير لون خلفية موقع الويب، والتبديل إلى الخط الذي يفضلونه أو الخط الذي يسهل عليهم القراءة وحتى إزالة العناصر غير المرغوب فيها من الصفحة بالكامل.

وليس من المفترض أن تكون تعديلاتهم مرئية لأي شخص آخر، لكن يمكنهم مشاركتها عبر الأجهزة، والآن، اعترفت شركة Browser Company منشئ Arc، بأن أحد الباحثين الأمنيين وجد ثغرة خطيرة من شأنها أن تسمح للمهاجمين باستخدام التعزيزات لاختراق أنظمة أهدافهم.

استخدمت الشركة Firebase، والتي وصفها الباحث الأمني ​​المعروف باسم "xyzeva" بأنها "خدمة قاعدة بيانات كخدمة خلفية" في منشورهم حول الثغرة الأمنية، لدعم العديد من ميزات Arc.

بالنسبة إلى Boosts، على وجه الخصوص يتم استخدامها لمشاركة التخصيصات ومزامنتها عبر الأجهزة.

وفي منشور xyzeva، أظهروا كيف يعتمد المتصفح على تعريف المنشئ (CreatorID) لتحميل التعزيزات على الجهاز ، وقد شاركوا أيضًا كيف يمكن لشخص ما تغيير هذا العنصر إلى علامة تعريف هدفه وتعيين تعزيزات الهدف التي أنشأها.

وإذا قام أحد الممثلين السيئين بإجراء تعزيز باستخدام حمولة ضارة، على سبيل المثال، فيمكنه فقط تغيير معرف المبدع الخاص به إلى معرف المبدع الخاص بالهدف المقصود.

وعندما تقوم الضحية المقصودة بعد ذلك بزيارة موقع الويب على Arc، يمكنها تنزيل البرامج الضارة للمتسلل دون قصد.

وكما أوضح الباحث، من السهل جدًا الحصول على معرفات المستخدم للمتصفح، وسيقوم المستخدم الذي يحيل شخصًا ما إلى Arc بمشاركة معرفه مع المستلم، وإذا قام أيضًا بإنشاء حساب من إحالة، فسيحصل الشخص الذي أرسله أيضًا على معرفه.

ويمكن للمستخدمين أيضًا مشاركة التعزيزات الخاصة بهم مع الآخرين، ولدى Arc صفحة بها التعزيزات العامة التي تحتوي على معرفات المبدعين للأشخاص الذين قاموا بإنشائها.

وقالت شركة المتصفح في منشورها إن xyzeva أخطرتها بشأن المشكلة الأمنية في 25 أغسطس، وأنها أصدرت إصلاحًا في اليوم التالي بمساعدة الباحث، كما أكد للمستخدمين أنه لم يتمكن أحد من استغلال الثغرة الأمنية، ولم يتأثر أي مستخدم.

ونفذت الشركة أيضًا العديد من الإجراءات الأمنية لمنع حدوث موقف مماثل، بما في ذلك الخروج من Firebase، وتعطيل Javascript على التعزيزات المتزامنة افتراضيًا، وإنشاء برنامج مكافأة الأخطاء وتعيين مهندس أمني كبير جديد.