"Katastrophale Schwachstelle" behoben
Arc-Browser muss sich schlampige Entwicklung nachsagen lassen
Der für den Mac, Windows und Mobilgeräte verfügbare Webbrowser Arc muss sich nachsagen lassen, dass eine Sicherheitslücke potenziellen Angreifern die Möglichkeit geboten hat, über die Browser-Sitzungen von Arc-Nutzern beliebigen Code auszuführen. Das Pikante dabei: Durch die Schwachstelle war es offenbar möglich, auf den Arc-Browser eines Nutzers zuzugreifen, ohne dass dieser hierfür eine modifizierte Webseite oder dergleichen besuchen musste.
Die Schwachstelle wurde durch eine von Arc unabhängige Entwicklerin ausgemacht und von dieser als einen katastrophalen Fehler bei der Programmierung der Anwendung bezeichnet.
Die Ursache des Problems war offenbar in der Verwendung des Datenbankdienstes „Firebase“ zu suchen, mit dessen Hilfe die Arc-Entwickler verschiedene Funktionen ihres Browsers umgesetzt haben. Durch eine fehlerhafte Konfiguration der Firebase-Zugriffsrechte sei es möglich gewesen, die sogenannte „creatorID“ von Firebase-Prozessen zu ändern. Dies hätte es einem Angreifer erlaubt, gezielt und ohne dessen Wissen oder Zustimmung Schadcode in das Browser-Konto eines anderen Arc-Nutzers einzuspielen.
Technisch interessierte und mit entsprechendem Programmierwissen ausgestattete Menschen können im Blog der Entwicklerin Details zu der Schwachstelle nachlesen.
Sicherheitslücke offenbar nicht ausgenutzt
Die Arc-Entwickler bezahlen normalerweise keine Prämien für das Aufdecken von Sicherheitslücken, in diesem Fall hätten sie allerdings 2.000 Dollar aufgeboten, was nach Ansicht der Entwicklerin die Relevanz der Entdeckung betont.
Zudem haben die Arc-Entwickler mittlerweile eine Stellungnahme zu dem Vorfall veröffentlicht, in dem nachzulesen ist, dass die Sicherheitslücke nur einen Tag, nachdem sie darüber informiert wurden, behoben wurde. Auch sei es sicher, dass die Schwachstelle von niemandem ausgenutzt wurde. Für Nutzer von Arc gebe es keinerlei Handlungsbedarf, da die Korrektur an zentraler Stelle vorgenommen werden konnte.
Ehrlich gesagt, ist schon die Nutzung von Firebase an sich kritisch zu sehen. Denn Firebase ist ein Cloud-basiertes Framework von Google, d.h. alle damit verwalteten Daten landen bei Google. Und das muss ja nicht sein
Oh Cloud, Google, AWS, alles böse.
1. man Firebase und viele Cloudservice auch so nutzen das Daten da drin nicht im Plaintext stehen.
2. und welchen DNS im Router hast Du eingetragen? Quad One, eight oder Nine?
3. benutzt Du Quad One Warp oder VPN Dienste?
Du musst ja nicht so sehen und anders machen, es sind ja deine Daten. Aber wenn man was anspricht was bekannt ist muss man es nicht ins schlechte Licht rücken.
Und du gibst ein bisschen mit Buzzword Bingo an?
@Matthias Wodurch begründest Du Deinen eher herabwürdigenden Text?
Glaub ich bin hier unter dem falschen Artikel gelandet ^^
Gilt das eigentlich auch für arc search? Nutze ich mittlerweile als Alternative zu Google und bin mit den Ergebnissen sehr zufrieden