บริษัท The Browser Company ผู้ให้บริการ Arc Browser ได้เปิดตัวโครงการ Arc Bug Bounty เพื่อกระตุ้นให้นักวิจัยด้านความปลอดภัยรายงานช่องโหว่ต่อโครงการ และรับเงินรางวัล
การพัฒนาครั้งนี้เกิดขึ้นเพื่อตอบสนองต่อช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical หมายเลข CVE-2024-45489 ซึ่งอาจทำให้ผู้โจมตีสามารถโจมตีผู้ใช้โปรแกรมในวงกว้างได้
โดยช่องโหว่ดังกล่าว ผู้โจมตีสามารถใช้ประโยชน์จาก Arc ที่ใช้ Firebase สำหรับการยืนยันตัวตน และการจัดการฐานข้อมูลเพื่อรันโค้ดตามที่ต้องการบนเบราว์เซอร์ของเป้าหมายได้
นักวิจัยพบช่องโหว่ระดับ Critical ในฟีเจอร์ Boosts (user-created customizations) ที่อนุญาตให้ผู้ใช้งานใช้ JavaScript ปรับเปลี่ยนเว็บไซต์เมื่อเข้าชมได้
นักวิจัยพบว่าสามารถทำให้โค้ด JavaScript ที่เป็นอันตรายทำงานในเบราว์เซอร์ของผู้ใช้รายอื่นได้ เพียงแค่เปลี่ยน creator ID ของ Boosts เป็น ID ของบุคคลอื่น และเมื่อผู้ใช้ Arc Browser เยี่ยมชมเว็บไซต์ดังกล่าว ก็จะเปิดใช้งานโค้ดที่เป็นอันตรายที่ถูกสร้างขึ้นโดยผู้โจมตี
แม้ว่าช่องโหว่ดังกล่าวจะปรากฏบนเบราว์เซอร์มาระยะหนึ่งแล้ว แต่ก็ได้รับการแก้ไขอย่างรวดเร็วในวันที่ 26 สิงหาคม 2024 หนึ่งวันหลังจากที่นักวิจัยเปิดเผยช่องโหว่ดังกล่าวต่อทีม Arc โดยพวกเขาได้รับรางวัล 2,000 ดอลลาร์
โครงการ Arc Bug Bounty
โครงการ Bug Bounty ที่ประกาศโดย The Browser Company ครอบคลุมถึง Arc บน macOS และ Windows และ Arc Search บนแพลตฟอร์ม iOS
การจ่ายเงินรอบนี้สามารถสรุปได้เป็น 4 หมวดหมู่หลักดังต่อไปนี้ ขึ้นอยู่กับความร้ายแรงของช่องโหว่ที่ค้นพบ
ช่องโหว่ระดับ Critical คือ การเข้าถึงระบบทั้งหมด หรือการใช้ประโยชน์ที่ส่งผลกระทบอย่างมีนัยสำคัญ (เช่น ไม่ต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 10,000 - 20,000 ดอลลาร์
ช่องโหว่ระดับ High คือ ปัญหาร้ายแรงที่ส่งผลต่อความสมบูรณ์ของเซสชัน การเปิดเผยข้อมูลที่สำคัญ หรือการเปิดใช้งานการเข้าควบคุมระบบ (รวมถึงช่องโหว่เบราว์เซอร์ extension บางส่วน) รางวัล: 2,500 - 10,000 ดอลลาร์
ช่องโหว่ระดับ Medium คือ ช่องโหว่ที่ส่งผลต่อ multiple tabs ที่มีผลกระทบต่อเซสชัน และข้อมูลที่จำกัด หรือการเข้าถึงข้อมูลที่สำคัญบางส่วน (อาจต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 500 - 2,500 ดอลลาร์
ช่องโหว่ระดับ Low คือ ปัญหาเล็กน้อยที่จำเป็นต้องมีการโต้ตอบจากผู้ใช้จำนวนมาก หรือมีขอบเขตจำกัด (เช่น ค่าเริ่มต้นที่ไม่ปลอดภัย และช่องโหว่ที่ยากต่อการนำใช้ในการโจมตี) รางวัล: สูงสุด 500 ดอลลาร์
รายละเอียดเพิ่มเติมเกี่ยวกับโครงการ Arc Bug Bounty{}
เกี่ยวกับช่องโหว่หมายเลข CVE-2024-45489 ทีมงาน Arc ระบุในประกาศล่าสุดว่า การซิงค์อัตโนมัติของ Boosts กับ JavaScript จะถูกปิดใช้งาน และมีการเพิ่มปุ่มปิดคุณสมบัติที่เกี่ยวข้องกับ Boost ทั้งหมดลงใน Arc 1.61.2 ซึ่งเป็นเวอร์ชันล่าสุดที่เปิดตัวเมื่อวันที่ 26 กันยายน 2024
นอกจากนี้ ยังมีการตรวจสอบจากผู้เชี่ยวชาญด้าน auditing ซึ่งอยู่ระหว่างการตรวจสอบ โดยจะครอบคลุมระบบที่ได้รับการสนับสนุนของ Arc
MDM configuration แบบใหม่ที่ใช้เพื่อปิดการใช้งาน Boosts สำหรับองค์กรจะเปิดตัวในอีกไม่กี่สัปดาห์ข้างหน้านี้
บริษัท The Browser Company เปิดเผยว่า ขณะนี้กำลังมีการร่างแนวปฏิบัติการเข้ารหัสใหม่ โดยเน้นไปที่การตรวจสอบ และทบทวนการทำงานเป็นพิเศษ รวมไปถึงกระบวนการตอบสนองต่อเหตุการณ์ที่มีการปรับปรุงใหม่เพื่อให้มีประสิทธิภาพมากขึ้น
Arc เปิดตัวเมื่อปีก่อน และได้รับความนิยมอย่างรวดเร็วด้วยการออกแบบอินเทอร์เฟซของผู้ใช้ที่มีความสร้างสรรค์ รวมไปถึงตัวเลือกการปรับแต่งที่ผสานรวมกับ uBlock Origin ทำให้มีประสิทธิภาพการทำงานที่รวดเร็ว ซึ่งทำให้ผู้โจมตีใช้ความนิยมของเบราว์เซอร์เพื่อส่งมัลแวร์ไปยังผู้ใช้งาน Windows
ที่มา : bleepingcomputer