Chrome pierwszą ofiarą hackerów

Zaoferowana przez Google nagroda za złamanie zabezpieczeń Chrome’a zachęciła hackerów do działania. Przeglądarka Google jako pierwsza poddała się uczestnikom konkursu Pwn2Own.

W ubiegłym roku żaden z hackerów nie próbował się do niej włamać. Tym razem było inaczej i nie pomogło łatanie przeglądarki na kilka dni przed konkursem. Współzałożyciel francuskiej firmy VUPEN Chaouki Bekrar i jego zespół wykorzystali dwie dziury typu zero-day w Chrome do przejęcia kontroli nad komputerem z w pełni załatanym 64-bitowym Windows 7.

Podczas demonstracji Bekrar stworzył spreparowaną witrynę, a gdy odwiedzono ją za pomocą komputera wyposażone w Chrome, doszło do automatycznego ataku i otwarcia Kalkulatora poza „piaskownicą“. Nie jest wymagana żadna interakcja ze strony użytkownika, żadne dodatkowe kliknięcia. Wchodzimy na stronę i program jest uruchamiany.

Bekrar pochwalił jednocześnie Chrome’a. Jego zdaniem Google stworzył bardzo bezpieczny sandbox i Chrome jest jedną z najbezpieczniejszych przeglądarek.

Drugą przeglądarką, która poddała się atakom, była Safari zainstalowana w systemie Mac OS X. Również i ona padła ofiarą ekspertów z VUPEN. Atak przeprowadzono w zaledwie 5 sekund, co każe poważnie zastanowić się nad prawdziwością poglądu, jakoby Mac OS X był bezpieczniejszy od Windows. Zdaniem hackerów, wcale tak nie jest. System Apple’a nie dość, że korzysta tylko z technologii ASLR, a nie używa DEP, to dodatkowo jest ona źle zaimplementowana. Ataku na Safari dokonano za pośrednictwem silnika WebKit, który zawiera wiele dziur. Co prawda z WebKita korzysta też Chrome, jednak Google znacznie poprawił kod silnika, dzięki czemu jego przeglądarka jest bezpieczniejsza.

Mariusz Błoński


Wersja do druku

07.03.2012 r.

MIT kształci piratów, 12:17

Bill Gates sprzedaje muzykę profesjonalistom, 12:14

09.03.2012 r.

Francja: Zamknięcie MegaUpload ograniczyło piractwo?, 9:54

Nokia chce walczyć tańszymi telefonami, 9:55