Chrome supraviețuiește unui nou maraton al hackerilor

ACTUALITATE

Google Chrome a supraviețuit neatins, pentru al doilea an consecutiv, tentativelor de compromitere comise de hackerii participanți la competiția Pwn2Own care are loc la Vancouver. Pwn2Own este o demonstrație anuală a inabilității industriei de software de a-și menține produsele securizate împotriva hackerilor. Anul acesta au fost sparte Firefox, Internet Explorer 8 și Safari, în doar câteva minute, iar cei care au reușit asta au primit câte 10.000$ fiecare, plus drepturi de a se lăuda, precum și hardware-ul pe care au rulat aplicațiile țintă.

Performanța lui Chrome este remarcabilă, și nu se datorează, așa cum s-a speculat, cotei de piață mici, de unde și interesul redus al hackerilor. Conform Net Applications, Chrome deține 5,6% din piață, în vreme ce Apple Safari, cu o cotă de piață mai mică, de circa 4,5% a fost spart în fiecare an la Pwn2Own.

„Non-credincioșii” vor argumenta că Google a reparat 11 breșe de securitate ale browserului său chiar înainte să înceapă competiția, dar Apple a reparat 19 bug-uri în Safari în aceeași săptămână și asta nu l-a împiedicat pe hackerul Apple Charlie Miller să-l compromită în public și în al treilea an consecutiv.

Miller a argumentat într-un e-mail că Google nu este neapărat mai sigur decât competitorii, întrucât hackerii se ocupă de aplicațiile pe care ei înșiși le folosesc. De unde putem deduce că dacă un hacker are un browser favorit, acesta e victima aproape sigură. Totuși, Google nu e o companie oarecare, iar Chrome nu este un browser rău, deci este destul de improbabil să nu-i intereseze pe hackeri. Cu toate acestea, pentru al doilea an consecutiv nu a putut fi spart de specialiștii în securitate de la Pwn2Own

Google va spune, desigur, că browserul Chrome are pur și simplu securitate mai bună, mai precis așa-numitul „sandboxing”, care reduce drastic privilegiile de acces ale unui website la hardware-ul computerului. Google a cumpărat, cel puțin parțial, această tehnologie de la firma de software GreenBorders, în mai 2007. Anul acesta, Google a mai anunțat și că va cumpăra bug-urile de securitate găsite de specialiști în Chrome, o altă tehnică menită să-i consolideze securitatea. Compania plătește maximum 1337$ pentru breșe critice (ceea ce constituie o referință la „LEET”, un adjectiv folosit în jargon dar și de hackeri pentru a desemna aptitudinile generale ale unui ninja). Dacă un astfel de specialist ar găsi un bug capabil să îngenuncheze Chrome, cel mai probabil nu l-ar vinde pe 1337$, ci l-ar păstra pentru Pwn2Own, unde ar putea valora 10.000$ și mult mai multă publicitate.

Așadar, este de așteptat că Google să fie ținta predilectă în competiția anului viitor, sau poate chiar mai devreme, pentru că în vară va avea loc conferința de securitate Black Hat. Oricum, vom vedea exact care sunt limitele sandbox-ingului lui Google.