منوعات

ثغرة خطيرة فى متصفح Arc الذى يسمح لك بتخصيص مواقع الويب

تعد إحدى الميزات التي تميز متصفح Arc عن منافسيه هي القدرة على تخصيص مواقع الويب، وتتيح الميزة المسماة “Boosts” للمستخدمين تغيير لون خلفية موقع الويب، والتبديل إلى الخط الذي يفضلونه أو الخط الذي يسهل عليهم القراءة وحتى إزالة العناصر غير المرغوب فيها من الصفحة بالكامل.

وليس من المفترض أن تكون تعديلاتهم مرئية لأي شخص آخر، لكن يمكنهم مشاركتها عبر الأجهزة، والآن، اعترفت شركة Browser Company منشئ Arc، بأن أحد الباحثين الأمنيين وجد ثغرة خطيرة من شأنها أن تسمح للمهاجمين باستخدام التعزيزات لاختراق أنظمة أهدافهم.

استخدمت الشركة Firebase، والتي وصفها الباحث الأمني ​​المعروف باسم “xyzeva” بأنها “خدمة قاعدة بيانات كخدمة خلفية” في منشورهم حول الثغرة الأمنية، لدعم العديد من ميزات Arc.

بالنسبة إلى Boosts، على وجه الخصوص يتم استخدامها لمشاركة التخصيصات ومزامنتها عبر الأجهزة.

وفي منشور xyzeva، أظهروا كيف يعتمد المتصفح على تعريف المنشئ (CreatorID) لتحميل التعزيزات على الجهاز ، وقد شاركوا أيضًا كيف يمكن لشخص ما تغيير هذا العنصر إلى علامة تعريف هدفه وتعيين تعزيزات الهدف التي أنشأها.

وإذا قام أحد الممثلين السيئين بإجراء تعزيز باستخدام حمولة ضارة، على سبيل المثال، فيمكنه فقط تغيير معرف المبدع الخاص به إلى معرف المبدع الخاص بالهدف المقصود.

وعندما تقوم الضحية المقصودة بعد ذلك بزيارة موقع الويب على Arc، يمكنها تنزيل البرامج الضارة للمتسلل دون قصد.

وكما أوضح الباحث، من السهل جدًا الحصول على معرفات المستخدم للمتصفح، وسيقوم المستخدم الذي يحيل شخصًا ما إلى Arc بمشاركة معرفه مع المستلم، وإذا قام أيضًا بإنشاء حساب من إحالة، فسيحصل الشخص الذي أرسله أيضًا على معرفه.

اظهر المزيد

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى