The Browser Company ha introducido un programa Arc Bug Bounty para alentar a los investigadores de seguridad a informar las vulnerabilidades del proyecto y recibir recompensas.
Este desarrollo surge en respuesta a una falla crítica de ejecución remota de código, identificada como CVE-2024-45489, que podría haber permitido a actores maliciosos lanzar ataques a gran escala contra los usuarios del programa.
La falla permitió a los atacantes explotar la forma en que Arc usa Firebase para la autenticación y la administración de bases de datos para ejecutar código arbitrario en el navegador de un objetivo.
A investigador encontró lo que describen como una falla «catastrófica» en la función «Boosts» (personalizaciones creadas por el usuario) que permite a los usuarios usar JavaScript para modificar un sitio web cuando lo visitan.
El investigador descubrió que podían provocar que se ejecutara código JavaScript malicioso en los navegadores de otros usuarios simplemente reemplazando la identificación del creador de Boost con la identificación de otra persona. Cuando este usuario de Arc Browser visitó el sitio, lanzó el código malicioso creado por un atacante.
Aunque la falla había estado presente en el navegador por un tiempo, fue abordado rápidamente el 26 de agosto de 2024, un día después de que el investigador lo revelara responsablemente al equipo de Arc, por lo que recibieron 2.000 dólares.
Programa de recompensas por errores de Arc
El programa de recompensas por errores anunciado por la empresa Browser cubre Arc en macOS y Windows y Arc Search en la plataforma iOS.
Los pagos fijos se pueden resumir en las siguientes cuatro categorías principales, según la gravedad de las vulnerabilidades descubiertas:
- Crítico: Acceso total al sistema o exploits con impacto significativo (por ejemplo, no se requiere interacción del usuario). Recompensa: $10,000 – $20,000
- Alto: problemas graves que comprometen la integridad de la sesión, exponen datos confidenciales o permiten la toma de control del sistema (incluidos algunos exploits de extensiones del navegador). Recompensa: $2,500 a $10,000
- PROMEDIO: Vulnerabilidades que afectan a varias pestañas, impacto limitado en sesiones/datos o acceso parcial a información confidencial (puede requerir interacción del usuario). Recompensa: $500 a $2500
- Débil: Problemas menores que requieren una interacción significativa del usuario o de alcance limitado (por ejemplo, valores predeterminados inseguros, errores difíciles de explotar). Recompensa: hasta $500
Más detalles sobre el programa Bounty d’Arc están disponibles disponible aquí.
Con respecto a CVE-2024-45489, el equipo de Arc señala en su último anuncio que se ha deshabilitado la sincronización automática de Boosts con JavaScript y se ha agregado una opción para deshabilitar todas las funciones relacionadas con Boost. Arco 1.61.2, la última versión publicada el 26 de septiembre.
Además, se está llevando a cabo una auditoría realizada por un experto en auditoría externa que cubrirá los sistemas respaldados por Arc.
En las próximas semanas se lanzará una nueva opción de configuración de MDM para desactivar Boosts para organizaciones enteras.
The Browser Company dice que ahora se están desarrollando nuevas pautas de codificación con un mayor énfasis en la auditoría y la revisión, que su proceso de respuesta a incidentes se está revisando para lograr una mayor eficiencia y que pronto se darán la bienvenida a nuevos miembros del equipo de seguridad.
Lanzado hace poco más de un año, Arc rápidamente ganó popularidad gracias a su innovador diseño de interfaz de usuario, opciones de personalización, integración de uBlock Origin y su rápido rendimiento. Los actores maliciosos incluso se han aprovechado de la popularidad del navegador para difundir malware entre los usuarios de Windows.
