Google Chrome, spart pentru prima data de hackeri

Google Chrome a cazut prada hackerilor in cadrul competitiei anuale Pwn2Own, dupa ani la rand in care nimeni nu a reusit sa patrunda in sistemele de aparare ale browserului.

Numerosi hackeri s-au intrecut sa gaseasca o spartura in zidul de protectie al browserului, mai ales ca in paralel cu competitia Pwn2Own, Google a sponsorizat propria competitie pentru a descoperi care sunt problemele browserului, oferind si 1 milion de dolari celor care reusesc, scrie Ars Technica.

In ultimii trei ani in care s-a desfasurat concursul, Chrome a scapat fara "zgarieturi", pe masura ce Internet Explorer, Firefox si Safari au fost "sparte" astfel incat hackerii au preluat controlul intregului sistem. De data aceasta, hackerii au utilizat o vulnerabilitate ce a aparut odata cu cea mai recenta actualizare a browserului.

Motivul pentru care pana acum browserul a fost imbatabil se pare ca sta in constructia acestuia. Contentul de web este separat de sistemul de operare al browserului intr-un perimetru sigur, ceea ce ingreuneaza scrierea de coduri care sa reprezinte un atac sigur catre inima browserului.

"Am spart Chrome ca sa fie clar pentru toata lumea ca nici macar acesta nu e in siguranta", a declarat Chaouki Bekrar, CEO al Vupen security, cei care au reusit sa sparga sistemul dupa doar o ora de la inceperea concursului.

Un al doilea concurent in competitia desfasurata in paralel de Google a reusit sa treaca de sistemele de siguranta ale Chrome si sa preia controlul asupra sistemului. Daca acesta a folosit un cod nativ al Chrome pentru a patrunde in sistemul de operare, el va primi din partea Google 60.000 dolari.

Conform primei echipe care a reusit sa patrunda dincolo de apararea Google, ei s-au folosit de o vulnerabilitate aflata in modul de instalare al Chrome, refuzand sa dea alte detalii. Alti hackeri speculeaza insa ca e vorba de o problema a plugin-ului pentru Adobe Flash care este instalat automat de Chrome.

Promisiunea Google

Cu putin timp in urma, Google a promis 1 milion de dolari hackerilor ce vor reusi sa sparga browserul astfel incat sa fie o amenintare pentru sistemul de operare al acestuia.

Spre exemplu, folosirea unei vulnerabilitati a Windows, Flash sau a driverelor aduce hackerilor cate 20.000 de dolari. Cei care au exploatat probleme specifice ale browserului vor primi cate 60.000 de dolari, pana cand e atinsa limita de 1 milion de dolari.

Conform companiei, ei doresc sa afle care sunt problemele exacte ale browserului, pentru a reusi sa imbunatateasca aceste aspecte.

"Nu numai ca putem sa rezolvam problemele, dar prin studierea vulnerabilitatilor si tehnicilor de exploatare putem sa ne imbunatatim tehnicile de testare, si tot ceea ce tine de securitate" noteaza inginerii Google.

Competitia ce-si schimba regulile

Competitia CanSecWest se afla in cel de-al saselea an de organizare, iar de atunci regulile au fost modificate substantial. In trecut, organizatorul oferea 15.000 de dolari primei persoane care reuseste sa sparga un software care se afla la cea mai recenta actualizare.

De data aceasta, concurentii trebuie sa sparga diverse programe, dar nu afla care vulnerabilitati atacate le vor aduce puncte decat dupa inceputul competitiei.

Echipa lui Bekrar, care a reusit sa patrunda in sistemul Chrome, sustine ca a reusit sa contruiasca un atac substantial pentru versiunea 8 a Internet Explorer in doar 20 de minute, o ora pentru Safari 5 si doua ore pentru Firefox 3.