Même si la faille de sécurité a été rapidement comblée et d'après ARC "non exploitée", elle a été jugée 'catastrophique" par le chercheur en sécurité
https://arc.net/blog/CVE-2024-45489-incident-response
D'après le chercheur en sécurité, il était TRES facile d injecter du code dans le navigateur des utilisateurs
https://kibty.town/blog/arc/0
Je cite :
Le nœud du problème réside dans les Boosts, une fonctionnalité permettant à tout un chacun de personnaliser n’importe quel site web en bloquant certains éléments, changeant la police ou encore la couleur de l’arrière-plan, puis de sauvegarder ces paramètres afin qu’ils s’affichent à chaque nouvelle visite.
D’après le chercheur, cette fonctionnalité laisse apparaître en clair le « creatorID » de chaque internaute et permet à des pirates de se faire passer pour eux sans encombre.
SUR LA CONFIDENTIALITE (je cite)
En faisant des recherches, j'ai vu des données envoyées au serveur, comme cette requête à chaque fois que vous visitez un site :
Code : Tout sélectionner
firebase
.collection("boosts")
.where("creatorID", "==", "UvMIUnuxJ2h0E47fmZPpHLisHn12")
.where("hostPattern", "==", "www.google.com");
Le chercheur souhaite du reste que ARC effectue un audit interne de leurs règles ACL Firebase actuelles et pas que cela (voir le lien donné plus haut)