De acuerdo con el boletín V3MM de PacketStorm Security, Chrome de Google fue el primer navegador en caer en el Annual Browser Hackathon, Pwn2Own, ante el grupo de seguridad francés VuPen Security, que demostró un exploit de sandbox, a sólo cinco minutos de iniciada la competencia.
La competencia Pwn2Own ayuda a los investigadores en seguridad a dar a conocer exploits contra las versiones más actuales de los navegadores web más populares: Internet Explorer, Safari, Firefox y Chrome.
Los puntos son otorgados por dos criterios, por la velocidad con la que los participantes pueden demostrar las vulnerabilidades y la medida en que sus exploits comprometen al navegador.
En años anteriores, hackers se habían inclinado por evadir el navegador Chrome de Google, que usa una tecnología poco conocida, con esto pretende restringir exploits, prevenirse de ellos y disminuir el impacto en su navegador.
Además del equipo francés,un hacker ruso, Sergey Glazunov, cobró un premio de $60,000 por demostrar un exploit de Chrome por separado, al eludir también la seguridad de Chrome. Glazanov cobró su premio en una competencia por separado, Pwnium, que únicamente se enfoca en los hack para Chrome.
Al parecer, este estudiante ruso, que ya ha colaborado en otras ocasiones con Google, ha demostrado un conocimiento de Chrome que incluso ha sorprendido a la propia compañía. La gran dificultad para hackear el navegador de Google parecía residir en la protección de sandbox del sistema, que impedía a los programadores hackear el sistema. El mérito del estudiante ruso ha sido encontrar una fórmula para evitar esta medida de seguridad y poder ejecutar el exploit que permitiría el hackeo de Chrome.
La semana pasada, Google anunció que ofrecería hasta un millón de dólares en recompensas a quienes le ayudaran a encontrar las vulnerabilidades de Chrome, mediante ataques de hackeo (http://www.computerworldmexico.mx/Articulos/21754.htm). Sin embargo, Google retiró su patrocionio inicial al concurso Pwn20wn, al preocuparse de que no se pidiera a los participantes no divulgar los detalles de sus exploits.
Entre los premios que Google había prometido, divididos según la importancia y gravedad del fallo descubierto, Sergey Glazunov ha conseguido la categoría más elevada, con lo que se embolsará $60,000 dólares, además de un Chromebook de regalo.
Por su parte, desde Google han asegurado que con este tipo de prácticas aprenden para mejorar la seguridad de su navegador y en este caso en concreto, la compañía ya está desarrollando una solución a la vulnerabilidad que próximamente será lanzada.