Twee 60.000 dollar-hacks voor Chrome
De uitdaging van Google om ‘gaten’ te vinden in Chrome levert al twee winnaars voor de 60.000 dollar topprijs op.
De uitdaging van Google om ‘gaten’ te vinden in Chrome levert al twee winnaars voor de 60.000 dollar topprijs op.
De ‘Pwnium’ wedstrijd werd door Google opgestart om hackers ertoe aan te zetten (zware) securityfouten in de Chrome browser op te sporen. Nog geen twee weken later wordt de topprijs van 60.000 dollar al twee keer uitgereikt. Zo kreeg een tiener onder de schuilnaam Pinkie Pie de prijs voor een aanval die gebruik maakt van drie ‘zero day’ kwetsbaarheden, inclusief een methode om code buiten de ‘sandbox’ (de beveiligde afgesloten ruimte voor code) te draaien. Interessant is dat naar verluidt deze hacker zijn cv naar Google had gestuurd, maar daar geen reactie had op gekregen. Allicht zal dat nu wel anders zijn.
Pinkie Pie werd evenwel nog voorgegaan door een andere hacker, Sergei Glazunov, die eveneens een methode vond om code buiten de sandbox te draaien (met behulp van twee ‘zero day’ kwetsbaarheden). De beide hackers maakten hiervoor overigens enkel gebruik van zwakten in Chrome zelf (en dus niet van het besturingssysteem of andere code op de machine).
In het geval van Glazunov hielp het wel dat hij expert is inzake de codebase van Chrome. Recentelijk heeft hij naar verluidt al ca. 70.000 dollar geïncasseerd door het aanbrengen van bugs in Chrome. Zo vermeldt een securitybug-scorelijst van begin 2011 niet minder dan vijf keer de naam Glazunov, samen goed voor haast 7.500 dollar aan ‘rewards’.
Fout opgemerkt of meer nieuws? Meld het hier