CanSecWest: bypassata la sandbox di Chrome

Google aveva lanciato il guanto di sfida a tutti i developer presenti al CanSecWest, l’annuale ritrovo di sviluppatori e hacker, con la competizione Pwnium: 1 milione di dollari in montepremi complessivo per chi fosse riuscito a trovare gravi vulnerabilità nel browser Chrome. Sarà stata forse l’attrattiva del denaro, ma il browser di Big G è già caduto sotto i fuochi incrociati degli hacker. Più volte.

Le regole del concorso sono molto semplici: 60.000 dollari per chiunque riuscirà ad attaccare completamente Chrome senza l’ausilio di software o bug esterni, 40.000 per chi ricorrerà a un solo sistema esterno per abbattere il browser, 20.000 di consolazione per chi riuscirà a compiere un hack pur non sfruttando nessuna vulnerabilità di Chrome. Ed è già arrivato il primo vincitore dei 60.000 dollari: si tratta di Sergey Glazunov, uno studente russo, che è riuscito a bypassare la sandbox di Chrome andando a minare il sottosistema delle estensioni. Per ottenere il suo scopo, il ragazzo ha sfruttato due vulnerabilità non conosciute del browser.

Una vincita che ha stupito la stessa Google, che non avrebbe mai pensato che gli utenti potessero avere una comprensione così elevata del proprio browser. Justin Schuh, membro del team di sicurezza di Chrome, ha così commentato ai microfoni di ZDNet:

Non ha infranto la sandbox, ma l’ha bypassata. È stato un exploit impressionante. Richiede una conoscenza davvero profonda del funzionamento di Chrome. Non è una cosa semplice da fare.

Riuscire a evitare la sandbox del browser è davvero un passo fondamentale per avere accesso al sistema in uso. La sandbox, infatti, è pensata per evitare che hacker e cracker possano accedere al sistema operativo passando dal browser, limitando così il loro campo d’azione. Il fatto che vi sia una modalità per aggirare questo muro ostacolante ha sollevato le preoccupazioni di Google – considerato come il bug non sia stato ancora risolto – e ha fatto guadagnare al giovane Glazunov un bel gruzzolo di denaro.

Complimenti anche dalle pagine di Big G su Google +, dove Sundar Pichai, responsabile di Google per la App, ha così commentato:

Congratulazioni al nostro contributore di lungo corso Sergey Glazunov per aver sottoposto la nostra prima vulnerabilità Pwnium. Sembra possa qualificarsi come un “Full Chrome Exploit” da 60.000 dollari di ricompensa. Stiamo già lavorando velocemente su un fix che inoltreremo via auto-update. È eccitante, abbiamo lanciato Pwnium quest’anno per incoraggiare la comunità della sicurezza a sottoporre degli exploit per permetterci di rendere il Web più sicuro. Stiamo attendendo altre segnalazioni, così da rendere Chrome ancora più forte per i nostri utenti.

Nel percorso Pwn2Own, ovvero il concorso ufficiale del CanSecWest affiancato a quello monetario di Google, è l’azienda di sicurezza francese Vupen ad avere la meglio, sempre sfruttando un bug della sandbox. La società ha voluto dimostrare a Big G che nessun software possa considerarsi pienamente sicuro.