A falha não é no Arc em si, é no Firebase.
Mas, de forma resumida (como eu entendi) o Arc guarda as credenciais do usuário no Firebase e as configurações no Firestore. os chamados “boosts”. Estes são indexados com a ID do usuário. A falha torna possível que se altere esse ID de um usuário para aplicar o boost em outro navegador (de outro usuário) e isso abre a brecha pra se executar código JS via browser na vítima.
O Arc tem uma página com os boosts (essas personalizações) inclusive: https://arc.net/boosts
Pelo que eu entendi, o Firebase tem uma falha meio sistêmica nesse quesito: https://env.fail/posts/firewreck-1
Ah sim, já foi corrigida e pagaram USD2000 pro cara (pelo menos isso).
5 comentários
Cheguei a utilizar ele como principal ano passado mas hoje tenho instalado somente para caso algum site não renderize corretamente no Safari.
No Mac acredito que a melhor opção seria manter o navegador da Apple como principal mesmo. O motor Chromium por ser mais utilizado é mais sujeito a ataques e falhas zero-day. O Safari é mais otimizado para a bateria, tem muitas opções de privacidade e anti tracking além de ficar no SIP do Sistema Operacional, dificultando muito o acesso a suas informações caso tenha algum ataque contra a sua máquina.
O problema do Safari é que só tem para macOS. Eu uso outros sistemas (linux) e no meu caso, usar o Firefox atende bem.
Eu uso por opção/comodidade, mas a ideia de que uma conta online é obrigatória para se usar um navegador web me parece meio errada já na largada… não?
Eu também pensei nisso quando baixei a primeira vez.
Uma coisa é sugerir, como a Mozila e até o Google, outra coisa é necessitar.
Usei por uns 2 meses e esse lance sempre me incomodou. Uma hora ligam alguma coisa que começa a fazer associação de usuário com navegação atrás de fontes de renda e daí já viu.
Muito bonito o design. Mas como você mencionou, já começa errado na largada.