Arc-Browser muss sich schlampige Entwicklung nachsagen lassen

Der für den Mac, Windows und Mobilgeräte verfügbare Webbrowser Arc muss sich nachsagen lassen, dass eine Sicherheitslücke potenziellen Angreifern die Möglichkeit geboten hat, über die Browser-Sitzungen von Arc-Nutzern beliebigen Code auszuführen. Das Pikante dabei: Durch die Schwachstelle war es offenbar möglich, auf den Arc-Browser eines Nutzers zuzugreifen, ohne dass dieser hierfür eine modifizierte Webseite oder dergleichen besuchen musste.

Die Schwachstelle wurde durch eine von Arc unabhängige Entwicklerin ausgemacht und von dieser als einen katastrophalen Fehler bei der Programmierung der Anwendung bezeichnet.

Die Ursache des Problems war offenbar in der Verwendung des Datenbankdienstes „Firebase“ zu suchen, mit dessen Hilfe die Arc-Entwickler verschiedene Funktionen ihres Browsers umgesetzt haben. Durch eine fehlerhafte Konfiguration der Firebase-Zugriffsrechte sei es möglich gewesen, die sogenannte „creatorID“ von Firebase-Prozessen zu ändern. Dies hätte es einem Angreifer erlaubt, gezielt und ohne dessen Wissen oder Zustimmung Schadcode in das Browser-Konto eines anderen Arc-Nutzers einzuspielen.

Technisch interessierte und mit entsprechendem Programmierwissen ausgestattete Menschen können im Blog der Entwicklerin Details zu der Schwachstelle nachlesen.

Sicherheitslücke offenbar nicht ausgenutzt

Die Arc-Entwickler bezahlen normalerweise keine Prämien für das Aufdecken von Sicherheitslücken, in diesem Fall hätten sie allerdings 2.000 Dollar aufgeboten, was nach Ansicht der Entwicklerin die Relevanz der Entdeckung betont.

Zudem haben die Arc-Entwickler mittlerweile eine Stellungnahme zu dem Vorfall veröffentlicht, in dem nachzulesen ist, dass die Sicherheitslücke nur einen Tag, nachdem sie darüber informiert wurden, behoben wurde. Auch sei es sicher, dass die Schwachstelle von niemandem ausgenutzt wurde. Für Nutzer von Arc gebe es keinerlei Handlungsbedarf, da die Korrektur an zentraler Stelle vorgenommen werden konnte.