أخبار الانترنت
متصفح Arc يُصلح ثغرة أمنية خطيرة بفضل باحثة أمنية
أعلنت شركة Browser Company، المطورة لمتصفح Arc، عن تصحيح ثغرة أمنية خطيرة اكتشفتها الباحثة الأمنية المعروفة باسم xyzeva، والتي كانت تسمح للمهاجمين باستغلال ميزة Boosts لاختراق الأنظمة المستهدفة. هذه الثغرة كانت تشكل تهديدًا خطيرًا على أمان المستخدمين وتعرضهم لهجمات قد تؤدي إلى تنزيل برامج ضارة دون علمهم.
متصفح Arc يُصلح ثغرة أمنية خطيرة بفضل باحثة أمنية
تُعد ميزة Boosts من الميزات الفريدة التي يقدمها متصفح Arc، حيث تتيح للمستخدمين تخصيص مواقع الويب عن طريق تعديل الألوان، تغيير الخطوط، وإزالة العناصر غير المرغوبة من الصفحات. هذه التعديلات مصممة لتكون مرئية فقط للمستخدم الذي قام بها، ولكنها تُزامن عبر الأجهزة المتصلة بنفس الحساب، مما يتيح استخدام نفس التعديلات عبر منصات متعددة.
متصفح Arc يُصلح ثغرة أمنية خطيرة بفضل باحثة أمنية
كيف تم استغلال الثغرة؟
بحسب الباحثة xyzeva، استغل المتصفح خدمة Firebase لتبادل هذه التخصيصات بين الأجهزة. الثغرة كانت تكمن في إمكانية تعديل creatorID، وهو معرف خاص بمنشئي Boosts، ليطابق معرف الهدف. هذا يعني أنه إذا قام المهاجم بإنشاء Boost ضار وتعديل creatorID إلى معرف الضحية، فإن المتصفح سيقوم بتنزيل هذا التعديل الضار عند زيارة الضحية للموقع، مما يمكن المهاجم من تنفيذ هجوم.
سهولة الحصول على معرفات المستخدم
وأوضحت الباحثة أن الحصول على معرفات المستخدم الخاصة بالمتصفح لم يكن أمرًا صعبًا، حيث يتبادل المستخدمون هذه المعرفات عند إحالة شخص ما إلى استخدام Arc، أو من خلال تبادل Boosts. كما أن صفحة Boosts العامة في المتصفح تحتوي على معرفات المستخدمين الذين قاموا بإنشاء هذه التعديلات، مما يسهل الوصول إلى هذه المعلومات واستغلالها.
استجابة Browser Company السريعة
بعد إبلاغ الباحثة الأمنية xyzeva عن الثغرة في 25 أغسطس، استجابت Browser Company بسرعة وأصدرت تحديثًا أمنيًا لإصلاح المشكلة بالتعاون مع الباحثة. وأكدت الشركة أنه لم يتم استغلال الثغرة الأمنية بشكل فعلي، ولم يتأثر أي مستخدم.
كما أعلنت الشركة عن اتخاذ مجموعة من التدابير لتعزيز الأمان في المتصفح، من بينها الانتقال من Firebase إلى حلول أخرى، وتعطيل جافا سكربت على Boosts بشكل افتراضي، وإنشاء برنامج مكافآت للأخطاء، بالإضافة إلى تعيين مهندس أمان جديد.
تعزيز الأمان في المستقبل
التزام Browser Company بمعالجة الثغرة الأمنية بسرعة يُظهر حرصها على أمان مستخدمي متصفح Arc. الإجراءات التي تم اتخاذها، مثل تعطيل جافا سكربت وتحسين البنية التحتية للتطبيق، تضمن عدم تكرار مثل هذه الحوادث في المستقبل. كما أن إطلاق برنامج مكافآت الأخطاء يُعد خطوة مهمة في اكتشاف الثغرات الأمنية بشكل أسرع ومنع استغلالها.