Il Pwn2Own si tiene in questi giorni a Vancouver, la manifestazione è un concorso per tutti gli hacker che cercano di trovare vulnerabilità nei vari browser attualmente disponibili. Google aveva offerto a chi riusciva ad entrare nella propria sandbox una “ricompensa” di ben venti mila dollari (LEGGI ARTICOLO) ,poi trasformati in un milione.
Vi anticipiamo subito che la vulnerabilità di Google Chrome è durata appena dieci minuti.
Il Team Vupen, così si chiamano i ragazzi riusciti nell’impresa, sono riusciti ad aggirare (non a bucare) la sandbox del browser in pochi minuti e con molta semplicità. Il Team Vupen, capeggiato dallo studente russo Sergey Glazunov, si sono portati a casa ben 60 mila dollari (per ora).
Per ottenere tale cifra il Team dovrà spiegare la modalità utilizzata per aggirare la Sandbox, così che i tecnici abbiano modo di chiuderla. Ma come sono riusciti nell’impresa? Stando a quanto detto il team avrebbe creato un exploit basato su una falla non nota al team di Google Chrome, aggirando così la sandbox. La sandbox è come una “scatola sigillata” dove ci sono tutti i dati del programma, dove è molto semplice entrarci ma è difficilissimo uscirne, in quanto si necessità di una falla o bug presenti dentro la sandbox stessa. E’ la stessa cosa che succede quando parliamo di jailbreak untethered per iDevices, che necessita ad ogni aggiornamento di iOS, di un’exploit per poter uscire dalla sandbox e creare un programma , integrando l’exploit stesso, che possa jailbreakkare il dispositivo.
Tornando alla vicenda Google , Justin Schuh, membro della sicurezza di Chrome, ha affermato che il Team non ha bucato la sandbox ma l’ha solo aggirata. Lo stesso membro ha definito il tentativo stupefacente ed ha affermato per arrivare alla scoperta dell’exploit si necessita di una conoscenza del sistema nei minimi particolari. Infatti lo studente russo a capo del team è uno degli sviluppatori, scelti da google, per verificare i vari bug di sistema, quindi possiamo affermare che è stato avvantaggiato da questo piccolo particolare.
Il team Vupen ha inoltre aggiunto che hanno in serbo altri exploit, con i quali sono pronti a mettere ko anche Explorer,Safari e Firefox.
Complimenti al Team Vupen!!!
[…] paio di giorni fa vi avevamo parlato che Google Chrome era stato aggirato dagli hacker del Pwn2Own (LEGGI ARTICOLO), manifestazione svoltasi a Vancouver tra il 7 e il 9 Marzo, oggi siamo a darvi la notizia che […]