Chrome OS ha passato indenne il Pwn2Own, la gara di hacking che si è tenuta durante la conferenza CanSecWest, e più in particolare il Pwnium, contest che Google ha fortemente voluto per mettere alla prova la sicurezza del suo sistema operativo "tutto online" dedicato ai computer con microprocessore x86 o architettura ARM. Il Samsung Serie 5 550 ha resistito alle bordate degli hacker più preparati al mondo malgrado un premio di 3,15 milioni di dollari. Questo non significa che Chrome OS è sicuro al 100%, ma il fatto che non sia stato bucato in questa manifestazione è comunque un fatto degno di nota.
Sono invece caduti quasi tutti i browser che sono stati sottoposti alle amorevoli cure degli hacker. L'azienda francese Vupen Security ha bucato un tablet Surface Pro grazie a due falle zero day di IE 10, raggiungendo così un "totale compromesso in Windows 8 con il bypass della sandbox". Vupen è riuscita anche a far secco Firefox, "bypassando ASLR/DEP [Address Space Layout Randomisation/Data Execution Prevention] su Windows 7 senza bisogno di ROP [Return-oriented programming]".
Nonostante Google si sia premunita aggiornando Chrome poco prima della manifestazione, anche il browser usato da oltre il 40 percento dei lettori di Tom's Hardware (dati di febbraio) non ha retto. MWR Labs, braccio dell'inglese MWR InfoSecurity, ha bucato Chrome 25 su Windows 7 sfruttando diverse vulnerabilità "zero-day" oppure non chiuse. I ricercatori si sono portati a casa un premio di 100 mila dollari.
L'hack è avvenuto facendo visitare al browser una pagina progettata ad hoc. Questa, a sua volta, ha permesso di sfruttare una vulnerabilità per "eseguire il codice nel contesto del processo in sandbox. Abbiamo usato una vulnerabilità del kernel di Windows 7 per ottenere privilegi elevati ed eseguire comandi arbitrari fuori dalla sandbox solo con privilegi di sistema".
A cadere anche Flash Player, sempre ad opera di Vupen, e Adobe Reader su Windows 7, grazie a George Hotz (sì, il GeoHot che ha superato le difese di PS3). Indenne invece Safari su Mac OS X Mountain Lion, come si può verificare a questo indirizzo. Strano ma vero, verrebbe da dire, ma la verità è che nessuno si è registrato per provare a bucarlo. Infine, Java è stato "bucato diverse volte". Non ci sorprende.
Secondo Chaouki Bekrar, amministratore delegato e capo della ricerca di Vupen Security, "scrivere exploit è in generale molto più difficile. Java è davvero semplice perché non c'è la sandbox. Flash è differente, è sempre aggiornato e Adobe ha fatto davvero un buon lavoro per metterlo in sicurezza. È più costoso creare un exploit per Flash che per Java".
Per quanto riguarda i browser, "Chrome è probabilmente il più difficile da attaccare a causa della sandbox. La debolezza in Chrome è WebKit e il punto di forza è la sandbox. Probabilmente una delle ragioni per cui Chrome è così sicuro è che i ragazzi di Google non risolvono solo le vulnerabilità, ma sono proattivi nell'affrontare le tecniche e l'aggiramento della sandbox".