Qualche giorno fa Google ha lanciato una provocazione, denaro a tutti coloro che sarebbero stati in grado di “bucare” la sicurezza di Google Chrome durante il CanSecWest, l’annuale ritrovo di sviluppatori e hacker, con la competizione Pwnium. All’interno dell’ormai celebre Pwn2Own, vero banco di prova per la sicurezza di tutti i software, Big G arrivava con l’unico software non violato nell’edizione 2011, per questo le cifre offerte agli hacker hanno spinto tutti a dare il meglio.
60.000 dollari per chiunque riuscirà ad attaccare completamente Chrome senza l’ausilio di software o bug esterni, 40.000 per chi ricorrerà a un solo sistema esterno per abbattere il browser, 20.000 di consolazione per chi riuscirà a compiere un hack pur non sfruttando nessuna vulnerabilità di Chrome. Forse le cifre erano davvero troppo interessanti ma Google Chrome è capitolato anche troppo in fretta, il primo a vincere i 60.000 dollari è stato uno studente russo di nome Sergey Glazunov.
La stessa Google è rimasta stupita della conoscenza del browser di alcuni hacker, come ha commentato Justin Schuh, membro del team di sicurezza di Chrome: “Non ha infranto la sandbox, ma l’ha bypassata. È stato un exploit impressionante. Richiede una conoscenza davvero profonda del funzionamento di Chrome. Non è una cosa semplice da fare”. Bypassare la sandbox è un passaggio fondamentale che permette accesso a tutta una serie di informazioni molto importanti, soprattutto perchè per farlo il giovane ha sfruttato due falle non note a Google.
Il fatto che sia possibile aggirare questa sicurezza con tale “facilità” ha allarmato Google, la sandbox è dopotutto pensata per evitare proprio che hacker e cracker possano accedere al sistema operativo passando dal browser, i due bug in questione mettono in luce come in realtà non esista un software totalmente sicuro, e sebbene Google si sia già messa all’opera per risolvere la criticità, l’operazione ha fruttato al giovane hacker una discreta cifra, e probabilmente l’attenzione di Google stessa.
