Un chercheur révèle une faille de sécurité « catastrophique » dans le navigateur Arc

Arc dispose d’une fonctionnalité appelée Boosts qui vous permet de personnaliser n’importe quel site Web avec du CSS et du Javascript personnalisés. Étant donné que l’exécution de Javascript arbitraire sur des sites Web présente des problèmes de sécurité potentiels, nous avons choisi de ne pas rendre les Boosts avec du Javascript personnalisé partageables entre les membres, mais nous les avons tout de même synchronisés avec notre serveur afin que vos propres Boosts soient disponibles sur tous les appareils.

Nous utilisons Firebase comme backend pour certaines fonctionnalités d’Arc (plus d’informations ci-dessous) et l’utilisons pour conserver les Boosts pour le partage et la synchronisation entre les appareils. Malheureusement, nos ACL Firebase (listes de contrôle d’accès, la façon dont Firebase sécurise les points de terminaison) étaient mal configurées, ce qui permettait aux utilisateurs de demander à Firebase de modifier l’ID de créateur d’un Boost après sa création. Cela permettait d’attribuer n’importe quel Boost à n’importe quel utilisateur (à condition que vous ayez son ID utilisateur), et donc de l’activer pour lui, ce qui entraînait l’exécution de CSS ou de JS personnalisés sur le site Web sur lequel le boost était actif.