Noha az informatikai biztonsági szakma egyik alaptétele, hogy feltörhetetlen szoftver nincs, a Google Chrome böngészője már-már ilyennek tűnt. Ezt a képet erősítette, hogy a program védelmét az elmúlt három évben egyszer sem sikerült térdre kényszeríteni a vancouveri CanSecWest biztonsági konferencia hagyományos böngészőtörő versenyén, a Pwn2Own-on. A hackereknek az évről évre nagyobb összegű jutalmak ellenére is beletört a bicskája a feladatba – mostanáig.

Az idei rendezvény első napján ketten is sikerrel vették az akadályt. A Pwn2Own keretein belül a francia Vupen szakértői két addig ismeretlen (nulladik napi) sebezhetőséget kihasználva vették át az irányítást a Chrome-ot egy 64 bites Windows 7-et futtató gépen. A ZDNet helyszíni tudósítása szerint a csapatnak körülbelül hat hétre volt szüksége ahhoz, hogy megtalálja a kiskaput és kidolgozza a módszert, amivel kihasználhatja.

Az egyik rés segítségével a Windows adatfuttatás-megelőzési (Data Execution Prevention, DEP) és véletlenszerűen kiosztott memóriacímeket használó (Address Space Layout Randomization, ASLR) védelmi vonalán jutottak túl, a másodikkal pedig a böngésző védelmi rendszerét törték fel – magyarázta a lapnak Chaouki Bekrar, a Vupen alapítója. A Chrome úgynevezett homokozó (sandbox) technológiáre építi a védelmét, aminek a lényege az lenne, hogy a böngészőben futtatott kód nem tud kitörni, nem fér hozzá az operációs rendszerhez.

A francia cég egy biztonsági résekkel kereskedő vállalat, amely az általa felfedezett hibákat nem a fejlesztőkkel osztja meg, hanem pénzért értékesíti ügyfeleinek. A támadás részleteit most sem hozták nyilvánosságra és a Google-nek sem küldik meg, ezt az idén először a Pwn2Own verseny szabályzata sem követeli meg a résztvevőktől. „Meg akartuk mutatni, hogy a Chrome sem törhetetlen. A részleteket titokban tartjuk, az ügyfeleinknek adjuk csak ki” – nyilatkozta Bekrar. A cég a demójában egy olyan weboldalt mutatott be, amelyen automatikusan, felhasználói közreműködés nélkül lefutott a támadó kód, és elindította a Windows számológép alkalmazását. A Vupen egyébként tavaly májusban már bemutatott egy Chrome-törést, de akkor sem publikálta az eljárás részleteit.

A Google az idén éppen azért nem szponzorálta a böngészőtörő versenyt, mert az nem írta elő, hogy a résztvevőknek át kell adnia a feltárt sebezhetőségek leírását a gyártóknak. A vállalat ezért önálló pályázatot hirdetett Pwnium néven a konferencián megjelenő hackerek számára, egymillió dolláros összdíjazással. Itt is született sikeres próbálkozás: egy orosz egyetemistának teljesen sikerült kijátszania a Chrome védelmét, mégpedig két addig ismeretlen sebezhetőség felhasználásával. A sikeres támadásért Szergej Glazunov 60 ezer dollárnyi díjat tehetett zsebre.

A konferencián a Google egyik biztonsági szakértője elmondta: az orosz diák sem tudott kitörni a homokozóból, hanem megkerülte azt. Szerinte az eljárás „rendkívül lenyűgöző”, és lehetővé teszi, hogy a támadó teljes jogosultsággal futtasson programot a windowsos számítógépen. A vállalat sietett világossá tenni: már dolgoznak a hibák javításán, mely automatikus frissítésként fog érkezni.