Salah satu fitur yang membedakan Arc Browser dari para pesaingnya adalah kemampuan untuk menyesuaikan situs web. Fitur yang disebut “Boosts” memungkinkan pengguna untuk mengubah warna latar belakang situs web, beralih ke font yang mereka sukai atau yang memudahkan mereka untuk membaca dan bahkan menghapus elemen yang tidak diinginkan dari halaman sepenuhnya. Perubahan mereka tidak seharusnya terlihat oleh orang lain, tetapi mereka dapat membagikannya di seluruh perangkat. Sekarang, pencipta Arc, Browser Company, telah mengakui bahwa seorang peneliti keamanan menemukan kelemahan serius yang memungkinkan penyerang menggunakan Boost untuk membahayakan sistem target mereka.
Perusahaan tersebut menggunakan Firebase, yang oleh peneliti keamanan yang dikenal sebagai “xyzeva” digambarkan sebagai “layanan database-sebagai-backend” dalam posting tentang kerentananuntuk mendukung beberapa fitur Arc. Khususnya untuk Boosts, fitur ini digunakan untuk berbagi dan menyinkronkan kustomisasi di seluruh perangkat. Dalam postingan xyzeva, mereka menunjukkan bagaimana browser bergantung pada identifikasi kreator (creatorID) untuk memuat Boosts di perangkat. Mereka juga membagikan bagaimana seseorang dapat mengubah elemen tersebut ke tag identifikasi target mereka dan menetapkan Boosts target yang telah mereka buat.
Jika pelaku kejahatan membuat Boost dengan muatan berbahaya, misalnya, mereka dapat mengubah creatorID mereka menjadi creatorID target yang dituju. Ketika korban yang dituju kemudian mengunjungi situs web di Arc, mereka dapat mengunduh malware milik peretas tanpa disadari. Dan seperti yang dijelaskan peneliti, cukup mudah untuk mendapatkan ID pengguna untuk peramban. Pengguna yang merujuk seseorang ke Arc akan membagikan ID mereka kepada penerima, dan jika mereka juga membuat akun dari rujukan, orang yang mengirimkannya juga akan mendapatkan ID mereka. Pengguna juga dapat membagikan Boost mereka dengan orang lain, dan Arc memiliki halaman dengan Boost publik yang berisi creatorID orang-orang yang membuatnya.
Dalam postingannya, Perusahaan Peramban mengatakan xyzeva memberitahukan tentang masalah keamanan tersebut pada tanggal 25 Agustus dan bahwa perusahaan tersebut mengeluarkan perbaikan sehari kemudian dengan bantuan peneliti. Perusahaan tersebut juga meyakinkan pengguna bahwa tidak seorang pun dapat mengeksploitasi kerentanan tersebut, tidak ada pengguna yang terpengaruh. Perusahaan tersebut juga telah menerapkan beberapa langkah keamanan untuk mencegah situasi serupa, termasuk menonaktifkan Firebase, menonaktifkan Javascript pada Boost yang disinkronkan secara default, membuat program bug bounty, dan merekrut teknisi keamanan senior yang baru.
