Il browser Arc si affiderà a un programma bug bounty per invogliare i ricercatori di sicurezza a individuare bug sul software. L’annuncio arriva direttamente da The Browser Company, compagnia che gestisce Arc.
Il programma in questione, battezzato con non troppa fantasia Arc Bug Bounty Program, permetterà ai professionisti di ottenere ricompense lavorando sulle versioni iOS, macOS e Windows del giovane browser. In fase di presentazione, la compagnia ha sottolineato come i premi in denaro verranno offerti in base all’entità del bug individuato.
Per un errore di lieve entità vengono promessi fino a 500 dollari di ricompensa, mentre per un bug di media gravità si parla di una forbice che spazia dai 500 ai 2.500. Per problematiche più gravi si parla di una cifra tra i 2.500 e i 10.000 dollari mentre, in caso di vulnerabilità considerata critica, la cifra può raggiungere anche i 20.000 dollari.
Arc Bug Bounty Program è un progetto per evitare altre vulnerabilità critiche
La decisione di The Browser Company non è dettata da un eccesso di scrupolo ma da un caso che ha scosso tanto la compagnia quanto l’utenza. Stiamo parlando della vulnerabilità catalogata come CVE-2024-45489, che ha interessato alcune versioni datate di Arc.
In quel caso specifico, era potenzialmente possibile eseguire codice remoto tramite JavaScript boost. Nel browser Arc, i boost sono strumenti che consentono agli utenti di personalizzare i siti Web modificandone l’aspetto e non solo. Eventuali interventi di cybercriminali poteva consentire agli aggressori di installare boost nel browser della vittima, eseguendo codice arbitrario e ottenendo privilegi elevati. Il ricercatore che ha scoperto la vulnerabilità ha ricevuto una ricompensa di 2.000 dollari e il bug è stato poi corretto con una versione successiva di Arc, rilasciata alla fine dello scorso agosto.
Nonostante ciò, The Browser Company sembra essere rimasta preoccupata riguardo eventuali ulteriori problemi, tanto da inaugurare il Arc Bug Bounty Program.