Google Chrome twee keer gehackt
Een Frans team is er voor het eerst in de geschiedenis van de jaarlijkse Pwn2Own-wedstrijd in geslaagd om Googles browser Chrome te hacken.
Het Franse Vupen, een controversieel bedrijf dat kwetsbaarheden en exploits verkoopt aan overheden, ging vorig jaar al met de primeur van de eerste hack van Google Chrome lopen. Google beweerde toen echter dat het misbruikte beveiligingslek zich niet in zijn browser bevond maar in code van een derde partij, waarschijnlijk de Flash-plug-in van Adobe.
De nieuwe hack van Chrome is een primeur voor de Pwn2Own-wedstrijd, waar beveiligingsexperts van over de hele wereld jaarlijks om geldprijzen strijden door de vier grootste browsers (Internet Explorer, Firefox, Chrome en Safari) te hacken en de controle over het systeem over te nemen.
60.000 dollar
De eer en het prijzengeld van 60.000 dollar voor het team dat na drie dagen al hackend de meeste punten heeft verzameld, motiveerden de experts van Vupen om gedurende zes weken alles uit de kast te halen om kwetsbaarheden in Chrome te vinden en exploits te schrijven als voorbereiding voor de wedstrijd.
Tijdens de wedstrijd misbruikte Vupen twee voorheen onbekende kwetsbaarheden. Via het eerste lek werd gebruikt om de beveiligingstechnologieën DEP en ASLR in Windows 7 SP1 64-bit te omzeilen, en het tweede lek was nodig om uit de beveiligde ‘sandbox’ van Chrome te breken.
Vupen zal de rechten voor het eerste zeroday-lek afstaan, maar houdt de methode om uit de zandbak te onstappen voor zichzelf en zijn klanten. Hoewel het team erin slaagde om Chrome te hacken, had het veel lof voor Googles browser. “Chrome is een van de veiligste browsers”, zei de leider van het team aan ZDNet.com.
Twee keer gehackt
Ook in een aparte competitie op de CanSecWest-beveiligingsconferentie, die door Google in het leven werd geroepen uit onvrede met het wedstrijdreglement van Pwn2Own, ging Chrome voor de bijl. De Fransen van Vupen waren wel eerder met hun hack.
De Russische Chrome-expert Sergey Glazunov ging in Googles Pwnium-wedstrijd met de hoofdvogel en het prijzengeld lopen. Google loofde in totaal liefst 1 miljoen dollar uit, waarvan 60.000 dollar naar Glazunov gaat.