Im Rahmen einer schweren Sicherheitslücke durften die Browser-Macher bei The Browser Company zeigen, wie sie mit Vorfällen umgehen.
Der Arc-Browser, ein komplett neu entwickelter Browser der passend benannten „The Browser Company“, hat in den letzten Monaten mehr und mehr Nutzer gefunden. Eine Hackerin hat nun eine schwere Sicherheitslücke entdeckt und das Unternehmen zeigt, wie man richtig mit Sicherheitslücken umgeht.
Und plötzlich bellt Google
Alles begann mit der Berufskrankheit jedes Hackers: krankhafte Neugier. Eva tat also, was jeder gemacht hätte: erst einmal den Traffic sniffen. Auffällig war jedoch: für ein cloudbasiertes Feature von Arc, das das Aussehen einer Seite ändert, gab es keine Requests. Das mag seltsam klingen, ist aber für das Standard Firebase-SDK, das Proxy-Einstellungen weitestgehend ignoriert, nicht überraschend. Nach etwas weiterem Stochern kam dann die Bestätigung: Firebase kommt zum Einsatz. Und nicht nur das: Die meisten klassischen Sicherheitslücken gab es nicht. Das hat aber noch nie einen Hacker gestört oder abgehalten.
Die meisten? Ja. Man konnte zwar keine Modifikationsregel – genannt „Boost“ – für einen anderen Account anlegen, man konnte aber sehr wohl eine für den eigenen Account erstellen und dann den Besitzer des Boosts überschreiben. Damit konnte man eine XSS direkt über den Browser ablaufen lassen, womit alle Sicherheitsmaßnahmen durch HTTP-Header und Ähnliches ausgehebelt werden. Warum das nicht gut ist, muss wohl nicht weiter erörtert werden. Die Hackerin probierte es für Google und die Seite des Suchriesens hat plötzlich fröhlich zurückgebellt. Und nicht nur das, es war auch möglich, Code in die Einstellungsseite zu injizieren.
The Browser Company zeigt, wie man es macht
Da wir wieder und wieder und wieder sehen dürfen, wie man es nicht macht, soll hier auch noch einmal explizit The Browser Company gelobt werden. Die Reaktion war erfrischend: schnell, konsequent und mit Auswirkungen für die Zukunft.
Nachdem der initiale Kontakt zum CTO Hursh Agrawal hergestellt wurde, dauerte es keine halbe Stunde, bevor die Hackerin sich in einem Slack-Channel wiederfand. Einen Tag später war die Lücke geschlossen und die Arc Nutzer wieder sicher.
Damit aber noch nicht genug: Die Macher des Browsers haben eine Reihe von Schritten eingeleitet, um weitere Vorfälle dieser Art zu verhindern. Nicht nur gibt es jetzt ein Bug-Bounty-Programm, das mögliche Whitehats für ihre Arbeit belohnt, sondern soll zusätzlich ein umfangreicher Audit der Firebase ACLs durchgeführt werden. Die Kommunikation der Lücke war transparent und klar. Davon können sich andere Unternehmen eine Scheibe abschneiden. Besonders, wenn sie weltweit die kritische Infrastruktur lahmlegen.