Laut The Hacker News hängt das Problem mit der im Browser integrierten Funktion „My Flaw“ zusammen, die Teil der Opera Touch Background-Erweiterung ist und nicht entfernt wurde. Mit My Flaw können Benutzer Notizen machen und Dateien zwischen Desktop- und mobilen Browsern teilen.

Dies ist eine bekannte Funktion, da moderne Softwareentwickler oft Tools für den schnellen Datenaustausch zwischen Computern und Mobilgeräten bereitstellen. Im Fall von Opera geht dies jedoch auf Kosten der Sicherheit.

Laut Guardio Labs funktioniert die Schnittstelle von My Flaw wie ein Chat zum Teilen von Dateien und bietet eine „Öffnen“-Funktion für alle Nachrichten mit einem Anhang, sodass Dateien direkt von der Webschnittstelle aus ausgeführt werden können. Das Ergebnis ist ein Webkontext, der mit System-APIs interagieren kann, um Dateien aus dem Dateisystem außerhalb des Browsers ohne Sandboxing oder Einschränkungen auszuführen.

Darüber hinaus können Websites und Erweiterungen mit My Flaw verbunden werden. Dies bedeutet, dass ein Angreifer eine bösartige Erweiterung erstellen könnte, die sich als das mobile Gerät ausgibt, mit dem der Computer des Opfers eine Verbindung herstellen möchte. Sie können dann JavaScript verwenden, um eine schädliche Datei zu übermitteln, die ausgeführt wird, wenn jemand irgendwo auf den Bildschirm klickt.

Die Opera-Entwickler wurden am 17. November letzten Jahres über die Sicherheitslücke in My Flaw informiert und die Sicherheitslücke wurde am 22. November behoben.