5

Chrome dziurawą, ale wciąż najbezpieczniejszą przeglądarką, twierdzą hakerzy

Bezpieczna przeglądarka to gwarancja, że, o ile nie jesteśmy nierozsądni, nasze dane i prywatność pozostaną nienaruszone. Dlatego też firmy tworzące przeglądarki cenią sobie wszelką pomoc przy zwiększaniu tego bezpieczeństwa – które cały czas jest bezwzględnie wystawiane na próby. Taką próbę co roku podejmują hakerzy na konferencji CanSecWest, w czasie konkursu Pwn2Own, kiedy to przeglądarki zostają […]

Bezpieczna przeglądarka to gwarancja, że, o ile nie jesteśmy nierozsądni, nasze dane i prywatność pozostaną nienaruszone. Dlatego też firmy tworzące przeglądarki cenią sobie wszelką pomoc przy zwiększaniu tego bezpieczeństwa – które cały czas jest bezwzględnie wystawiane na próby. Taką próbę co roku podejmują hakerzy na konferencji CanSecWest, w czasie konkursu Pwn2Own, kiedy to przeglądarki zostają wystawione na ciężkie działa exploitów.

Celem konkursu jest wykorzystanie odpowiedniego exploita (programu wykorzystującego dziury w oprogramowaniu) w celu przejęcia całkowitej kontroli nad systemem operacyjnym komputera. W tym roku pierwszą przeglądarką, która padła pod naporem hakerów, jest Chrome – a ataku dokonała grupa Vupen, ta sama, która rok temu złamała zabezpieczenia Safari. Vupen, za pomocą odpowiedniego exploita i podstawionej strony WWW, przełamał zabezpiecznia Chrome’a, zyskując kontrolę nad zaktualizowanym Windowsem 7. Niestety, Google nie dowie się, jak przełamano zabezpieczenia w tym wypadku.

Wszystko dlatego, że tegoroczny Pwn2own zmienił zasady, a hakerzy nie muszą już ujawniać swoich sekretów, jak to było w latach wcześniejszych. Głównie dlatego Google wycofało się w tym roku ze sponsorowania konkursu.

Firma nie smuci się jednak zbytnio, bowiem w ramach własnego konkursu Pwnium, organizowanego równolegle do Pwn2Own, również na wspomnianej konferencji, inny haker złamał zabezpieczenia przeglądarki, ujawniając przy tym, jak tego dokonał. Rosyjski ekspert od bezpieczeństwa internetowego, Sergey Glazunov przełamał zabezpieczenia Chroma, zyskując kontrolę nad systemem, za pomocą napisanego przez siebie exploita. Za wykrycie kolejnej w swojej karierze dziury skasował od Google 60 tysięcy dolarów. Google już pracuje nad aktualizacją swojej przeglądarki.

Mimo, iż zabezpieczenia Chrome’a w tym roku zostały “bardzo szybko” (prawie, o tym za chwilę) złamane, to jak mówi członek grupy Vupen, Chaoki Bekar:

Chrome jest dziś najlepiej zabezpieczoną przeglądarką. Nie jest łatwo stworzyć odpowiedni exploit, by obejść wszystkie jej zabezpieczenia.

Należy dodać, że Vupen trochę się napracowali nad atakiem – przygotowywali się do niego przez 6 tygodni – oznacza to, że Chrome wcale nie był takim łatwym kąskiem. Także dlatego, że oparł się hakerom rok temu w tym samym konkursie, dziś pewnie cieszą się z zemsty serwowanej na zimno :).

Źródła: 1, 2