Data: Piątek, 9 marca 2012, 09:51

Chrome pierwszą ofiarą hackerów

Zaoferowana przez Google nagroda za złamanie zabezpieczeń Chrome’a zachęciła hackerów do działania. Przeglądarka Google jako pierwsza poddała się uczestnikom konkursu Pwn2Own.

W ubiegłym roku żaden z hackerów nie próbował się do niej włamać. Tym razem było inaczej i nie pomogło łatanie przeglądarki na kilka dni przed konkursem. Współzałożyciel francuskiej firmy VUPEN Chaouki Bekrar i jego zespół wykorzystali dwie dziury typu zero-day w Chrome do przejęcia kontroli nad komputerem z w pełni załatanym 64-bitowym Windows 7.

Podczas demonstracji Bekrar stworzył spreparowaną witrynę, a gdy odwiedzono ją za pomocą komputera wyposażone w Chrome, doszło do automatycznego ataku i otwarcia Kalkulatora poza „piaskownicą“. Nie jest wymagana żadna interakcja ze strony użytkownika, żadne dodatkowe kliknięcia. Wchodzimy na stronę i program jest uruchamiany.

Bekrar pochwalił jednocześnie Chrome’a. Jego zdaniem Google stworzył bardzo bezpieczny sandbox i Chrome jest jedną z najbezpieczniejszych przeglądarek.

Drugą przeglądarką, która poddała się atakom, była Safari zainstalowana w systemie Mac OS X. Również i ona padła ofiarą ekspertów z VUPEN. Atak przeprowadzono w zaledwie 5 sekund, co każe poważnie zastanowić się nad prawdziwością poglądu, jakoby Mac OS X był bezpieczniejszy od Windows. Zdaniem hackerów, wcale tak nie jest. System Apple’a nie dość, że korzysta tylko z technologii ASLR, a nie używa DEP, to dodatkowo jest ona źle zaimplementowana. Ataku na Safari dokonano za pośrednictwem silnika WebKit, który zawiera wiele dziur. Co prawda z WebKita korzysta też Chrome, jednak Google znacznie poprawił kod silnika, dzięki czemu jego przeglądarka jest bezpieczniejsza.

Mariusz Błoński