Google Chrome cede con onore agli hacker

Il browser di Google ossia Chrome è caduto per la prima volta sotto gli attacchi di un gruppo di hacker partecipanti a un Pwn2Own Hacking Contest. Si tratta di quegli ormai ben noti meeting dove gruppi di smanettoni si sfidano per cercare di intrufolarsi e oltrepassare le difese dei programmi più noti e famosi. Non si tratta di azioni criminali, ma al contrario di “laboratori” spesso promossi e sponsorizzati dalle stesse società produttrici di software, che sfruttano i migliori informatici per scoprire eventuali bug o debolezze. E per la prima volta Chrome, ancora vergine in questo senso, si è aperto. Ma servirà per migliorarsi.

Sarà ricordata come la prima caduta di Chrome (con onore, però, vedi sotto), che finora si era distinto per essere l’unico browser ancora intatto nonostante i numerosi tentativi di intrusione, molti dei quali avvenuti proprio in occasione di questi contest di hacker. Ebbene, dopo essere sopravvissuto all’edizione 2011 del CanSecWest Pwn2Own hacking competition, quest’anno ha dovuto alzare bandiera bianca mostrando il fianco.
 
Merito del gruppo di hacker francesi conosciuti con il nome Vupen, che l’anno scorso erano riusciti a oltrepassare le difese di Safari, il browser di Apple. Come raccontato a ZDNet dal leader del gruppo, Chaouki Bekrar, sono servite sei settimane di lavoro per andare ad affondare l’attacco decisivo a Chrome. Hanno sviluppato un sistema per prendere il controllo totale di un computer con OS Windows 7 64-bit aggiornato alle ultime versioni e con tutte le sicurezze attivate.
 
Sono state trovate due vulnerabilità. La prima è stata utilizzata per bypassare le funzionalità di sicurezza DEP (Data Execution Prevention e ASLR (Address space layout randomization) mentre la seconda è stata utilizzata per andare a rompere la sicurezza del sandbox di Chrome. Tecnicismi a parte, sono stati trovate due falle che ovviamente saranno comunicate agli ingegneri di Mountain View per andare a correggerle in tempi brevi. In realtà Vupen aveva già violato Chrome nel 2011 con tanto di video dimostrazione, ma era stato utilizzato Flash per oltrepassare le sicurezze e Google ha commentato dicendo che non si dovevano sfruttare software di terze parti.
 
Google aveva infatti messo una cospicua somma per chi avesse violato per la prima volta Chrome e il collettivo francese aveva ormai indirizzato tutti gli sforzi verso questo browser, come ideale preda, riconoscendo poi che “E’ comunque uno dei software più sicuri per navigare sul Web“, un riconoscimento che vale molto visto che arriva da chi ha appena dimostrato che una piccola falla (anzi, due) erano presenti. Ma proprio grazie a questa dimostrazione potrà essere ancora migliorato.

Impostazioni privacy