Η Browser Company εγκαινιάζει ένα πρόγραμμα Arc Bug Bounty για να ενθαρρύνει τους ερευνητές ασφάλειας να εντοπίζουν και να αναφέρουν ευπάθειες με αντάλλαγμα κάποια χρηματική ανταμοιβή.
Η εταιρεία πήρε την απόφαση με αφορμή την εμφάνιση μιας κρίσιμης ευπάθειας (CVE-2024-45489), η οποία θα μπορούσε να επιτρέψει στους παράγοντες απειλών να εξαπολύσουν επιθέσεις μαζικής κλίμακας εναντίον των χρηστών.
Η ευπάθεια μπορούσε να επιτρέψει στους εισβολείς να εκμεταλλευτούν τον τρόπο με τον οποίο το Arc χρησιμοποιεί το Firebase για έλεγχο ταυτότητας και διαχείριση βάσης δεδομένων, για την απομακρυσμένη εκτέλεση κώδικα στο πρόγραμμα περιήγησης.
Δείτε επίσης: Ανακαλύφθηκε ευπάθεια σε VLC Media Player – Ενημερώστε άμεσα!
Ecovacs hacked: Σκούπες ρομπότ κυνηγούσαν κατοικίδια
We, Robot event: Αποκάλυψη Cybercab robotaxi & Tesla Robovan
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Ένας ερευνητής είπε ότι πρόκειται για ένα σφάλμα στο feature “Boosts” (προσαρμογές που δημιουργούνται από τον χρήστη) που επιτρέπει στους χρήστες να χρησιμοποιούν JavaScript για να τροποποιούν έναν ιστότοπο όταν τον επισκέπτονται.
Ο ερευνητής διαπίστωσε ότι θα μπορούσαν να προκαλέσουν την εκτέλεση κακόβουλου κώδικα JavaScript σε προγράμματα περιήγησης άλλων χρηστών, απλώς αλλάζοντας το creator ID του Boost σε ID άλλου ατόμου. Όταν αυτός ο χρήστης του Arc Browser επισκεπτόταν τον ιστότοπο, θα εκκινούσε τον κακόβουλο κώδικα που δημιουργήθηκε από τον εισβολέα.
Η ευπάθεια υπήρχε στον Arc Browser για αρκετό καιρό και διορθώθηκε στις 26 Αυγούστου 2024, μια ημέρα αφότου ο ερευνητής το αποκάλυψε στην εταιρεία. Ο ερευνητής ανταμείφθηκε με $2.000.
Πρόγραμμα Arc Bug Bounty
Το πρόγραμμα bug bounty που ανακοινώθηκε από την Browser Company καλύπτει το Arc σε macOS και Windows και το Arc Search στο iOS.
Οι καθορισμένες αμοιβές μπορούν να συνοψιστούν στις ακόλουθες τέσσερις κύριες κατηγορίες (ανάλογα με τη σοβαρότητα των ευπαθειών):
Κρίσιμες ευπάθειες: Πλήρης πρόσβαση στο σύστημα ή εκμεταλλεύσεις με σημαντικό αντίκτυπο (π.χ. δεν απαιτείται αλληλεπίδραση με τον χρήστη) – Ανταμοιβή: $10.000 – $20.000
Υψηλής σοβαρότητας ευπάθειες: Σοβαρά ζητήματα που διακυβεύουν την ακεραιότητα του session, αποκαλύπτουν ευαίσθητα δεδομένα ή επιτρέπουν την ανάληψη ελέγχου του συστήματος (συμπεριλαμβανομένων ορισμένων εκμεταλλεύσεων σε browser extension) – Ανταμοιβή: $2.500 – $10.000
Μεσαίας σοβαρότητας ευπάθειες: Ευπάθειες που επηρεάζουν πολλές καρτέλες, περιορισμένη επίδραση σε sessions και δεδομένα ή μερική πρόσβαση σε ευαίσθητες πληροφορίες (ενδέχεται να απαιτείται αλληλεπίδραση με τον χρήστη) – Ανταμοιβή: $500 – $2.500
Χαμηλής σοβαρότητας ευπάθειες: Μικρά ζητήματα που απαιτούν σημαντική αλληλεπίδραση με τον χρήστη ή έχουν περιορισμένο εύρος – Ανταμοιβή: Έως $500
Περισσότερες λεπτομέρειες σχετικά με το πρόγραμμα Bounty Arc μπορείτε να βρείτε εδώ.
Δείτε επίσης: HPE Aruba Networking: Διορθώνει κρίσιμες ευπάθειες σε Access Points
Προγράμματα Bug Bounty
Τα προγράμματα Bug Bounty προσφέρουν στις εταιρείες τη δυνατότητα να εντοπίσουν και να διορθώσουν τα κενά ασφαλείας των συστημάτων τους, πριν αυτά χρησιμοποιηθούν από κακόβουλους χρήστες. Η άμεση αναφορά οδηγεί σε διόρθωση των σφαλμάτων και ενισχύει την προστασία της εταιρείας από πιθανές επιθέσεις κυβερνοασφάλειας.
Επιπλέον, τα προγράμματα Bug Bounty επιτρέπουν στις εταιρείες να επωφεληθούν από την εμπειρία και τις γνώσεις ενός ευρύτερου δικτύου ειδικών στην κυβερνοασφάλεια. Ερευνητές από όλο τον κόσμο συμμετέχουν σε τέτοια προγράμματα.
Δείτε επίσης: Εκατομμύρια αυτοκίνητα Kia ευάλωτα σε hack λόγω ευπάθειας
Η Browser Company και άλλες εταιρείες δίνουν όλο και περισσότερη σημασία στα Bug Bounty, καθώς αυτά βελτιώνουν και την εικόνα τους στα μάτια των πελατών και των επενδυτών. Δείχνουν ότι η εταιρεία λαμβάνει σοβαρά υπόψη την κυβερνοασφάλεια και κάνει ό,τι είναι δυνατόν για να προστατεύσει τα προϊόντα της.
Τέλος, τα προγράμματα Bug Bounty μπορούν να είναι οικονομικά αποδοτικά, καθώς οι εταιρείες πληρώνουν μόνο για τα πραγματικά ευρήματα και όχι για την ώρα ή την προσπάθεια που δαπανήθηκε για την αναζήτηση των ευπαθειών.
Πηγή: www.bleepingcomputer.com