Chrome è stato bucato al Pwn2Own 2012, un concorso di hacking che si svolge all'interno della manifestazione CanSecWest, in cui gli hacker cercano di trovare le vulnerabilità dei browser singolarmente o in gruppo. Google, inviolata per tre anni consecutivi, aveva messo in palio un milione di dollari per chi fosse riuscito nell'impresa. L'imbattibilità di Chrome è cauduta in cinque minuti: tanto ci è voluto per trovare la falla e fare breccia nel sistema al Team Vupen, cappeggiato dallo studente universitario russo Sergey Glazunov.
Chrome è stato bucato in cinque minuti
Il gruppo si è aggiudicato 60mila dollari in quella che era la prima gara in programma, oltre a 32 punti di vantaggio nella competizione, che si chiude oggi. Per incassare la vincita è obbligatorio spiegare a Google i dettagli della vulnerabilità , così che i tecnici abbiano modo di chiuderla. Stando a quanto pubblicato da ZDNet, Glazunov ha creato un exploit basato su una falla non nota di Chrome, per aggirare le restrizioni della sandbox, progettata per evitare che violazioni del browser compromettano il resto del computer. Lo studente è stato avantaggiato dall'essere già un collaboratore regolare del programma di ricerca bug di Google.
Secondo Justin Schuh, membro del team di sicurezza di Chrome, l'exploit di Glazunov era specifico per Chrome e "non ha bucato la sandbox, l'ha completamente aggirata". Schuh ha descritto l'attacco come "impressionante" e ha chiarito che "è necessaria una conoscenza approfondita del funzionamento di Chrome per realizzarlo", perché "non è una cosa banale da fare. È molto difficile ed è per questo che lo paghiamo 60.000 dollari". Insomma, il lauto compenso è stato meritato sul campo.
Sergey Glazunov, a capo del Team Vupen
Il team russo ha preannunciato di avere in serbo altri exploit, con i quali intende mettere KO anche Internet Explorer, Safari e Firefox nella gare successive, di cui non abbiamo ancora notizia. La sconfitta di Chrome non deve essere interpretata come una sconfitta per Google, che sponsorizza questa manifestazione proprio per essere aiutato a individuare eventuali falle sconosciute e raccogliere le informazioni necessarie per correggerle prima che qualche cyber criminale possa usarle su larga scala causando danni a milioni di utenti, con il danno d'immagine che seguirebbe.
Justin Schuh e il collega Chris Evans hanno spiegato che "non solo si possono correggere i bug, ma studiando la vulnerabilità e sfruttando le tecniche degli hacker si possono migliorare le misure di sicurezza, i test automatici, e il sistema di sandbox". Riguardo all'exploit di Glazunov è stato precisato che Google sta già lavorando al fix, che sarà distribuito quanto prima tramite un aggiornamento del browser.