La gragnola di vulnerabilità recentemente corrette da Google non è stata sufficiente a salvare Chrome dall’azione degli hacker intervenuti al Pwn2Own di quest’anno: l’evento ospitato dalla conferenza CanSecWest ha visto il browser di Mountain View capitolare dopo appena cinque minuti dall’avvio del contest.
Una edizione rinnovata nelle regole , il Pwn2Own del 2012, e con un bersaglio piuttosto ambito (Chrome appunto), vista la propensione di Google a premiare gli sforzi di hacker e smanettoni nell’individuare bachi precedentemente sconosciuti.
Vupen, il team responsabile di aver messo fine alla “inviolabilità” di Chrome durante il Pwn2Own, ci ha messo pochi minuti a superare le barriere protettive del browser di Google ma l’attacco era già stato sviluppato nel corso delle precedenti sei settimane.
Per neutralizzare la sandbox di Chrome e aprire la calcolatrice integrata nel browser, gli hacker si sono serviti di un exploit capace di sfruttare una vulnerabilità zero-day ancora ignota al pubblico. Anche così, secondo l’opinione del co-fondatore di Vupen Chaoki Bekrar, Chrome resta uno dei browser più sicuri in circolazione. “Non è un compito facile creare un exploit complete per bypassare tutte le protezioni della sandbox”, concede Bekrar.
Magari superare la sandbox di Chrome non è così facile, ma a quanto pare non è nemmeno poi tanto difficile: c’è riuscito anche uno studente universitario russo in occasione del contest Pwnium , nel corso del quale la sandbox del browser di Google è stata sconfitta ancora una volta facendo guadagnare 60mila dollari allo studente suddetto.
Alfonso Maruccia