En un mundo digital en constante transformación, la seguridad informática se convierte en un tema crucial, y el navegador Arc se encuentra en el centro de esta conversación. Una de las características distintivas de Arc es su capacidad para permitir la personalización de sitios web a través de una función innovadora llamada “Boosts”. Con ella, los usuarios pueden modificar el color de fondo de una página, seleccionar su fuente preferida e incluso eliminar elementos no deseados. Estas alteraciones, aunque no visibles para otros, pueden ser compartidas a través de dispositivos, representando un cambio significativo en la experiencia de navegación personalizada.

Sin embargo, esta función presentaba un grave problema de seguridad. Un investigador especializado, conocido bajo el seudónimo “xyzeva”, descubrió una vulnerabilidad que permitía a los atacantes comprometer computadoras utilizando Boosts. Este fallo residía en cómo Arc utilizaba Firebase para sincronizar las personalizaciones de Boost entre dispositivos. Este servicio, descrito por “xyzeva” como “base de datos como servicio backend”, fue el protagonista involuntario del suceso.

La mecánica de este fallo era alarmantemente sencilla. En su reporte, el investigador describió el proceso: al cargar Boosts, el navegador se basa en una identificación del creador (creatorID) única. Si un atacante modificaba su creatorID para coincidir con el de su objetivo, podía asignar Boosts maliciosos a su víctima sin que esta lo percibiera. Al visitar una página web con Arc, el usuario desprevenido corría el riesgo de descargar un software malintencionado sin advertencias.

El proceso para obtener estas identificaciones era sorprendentemente fácil. Los usuarios que recomiendan Arc a otros comparten automáticamente sus IDs con los destinatarios, y estos también pasaban sus identidades al remitente al registrarse a través de referencias. Además, Arc dispone de una página pública con Boosts que muestra las IDs de sus respectivos creadores, aumentando así la exposición de dicha información.

Afortunadamente, la situación fue abordada rápidamente. La compañía desarrolladora de Arc fue notificada del inconveniente por “xyzeva” el 25 de agosto y, con la cooperación del investigador, implementaron una solución apenas un día después. Según afirma la empresa, no se registraron incidentes derivados de esta vulnerabilidad antes de su arreglo.

Para prevenir futuras vulnerabilidades, la compañía decidió alejarse de Firebase, inactivar por defecto JavaScript en Boosts sincronizados, y se propusieron medidas de seguridad adicionales como establecer un programa de recompensas para bugs y contratar a un nuevo ingeniero senior de seguridad.

Este episodio resalta la vital importancia de las medidas de seguridad robustas en el diseño y mantenimiento de software, insistiendo en la constante vigilancia y mejora en estas áreas, asegurando así que los usuarios puedan navegar tranquilos por la red con las herramientas innovadoras que el futuro les ofrezca.