Anche il browser Chrome alla fine non ha resistito agli attacchi degli hacker riuniti al CanSecWest. Lo scorso anno, nel corso dell’annuale gara per hacker, il browser di Google era stato l’unico a resistere; quest’anno, invece, anch’esso è caduto sotto gli attacchi sferrati dal team francese VUPEN. Il team ha individuato una vulnerabilità zero-day e con questa è riuscito a prendere controllo di una macchina con la variante a 64 bit di Windows 7 completa di Service Pack 1 e le ultime patch installate. Grazie a questo meccanismo, il team guadagna 32 punti. Quest’anno, infatti, la giuria non si limita a premiare l’exploit più veloce, ma ha previsto un sistema a punti per riconoscere creatività e impegno degli hacker. I duellanti potranno tentare più volte gli attacchi ai browser. Dieci punti saranno assegnati agli exploit sfruttabili sin dal primo giorno, mentre gli attacchi del secondo e terzo giorno permetteranno di ottenere bonus minori. Le cosiddette vulnerabilità “0-day” fruttano i 32 punti portati a casa dai francesi.
Anche il team denominato Bekrar è riuscito a individuare una vulnerabilità in Chrome riuscendo ad aprire un eseguibile (il file calc.exe, la calcolatrice di Windows) all’infuori della sandbox del browser semplicemente visitando una pagina web costruita ad hoc.
Google ha ammesso la sconfitta (sborserà assegni per 60.000$) e Justin Schuh, responsabile della sicurezza di Chrome è rimasto colpito dalle capacità degli hacker: “L’impresa è impressionante. E’ necessaria una profonda comprensione di come funziona Chrome. Non è un compito facile da raggiungere”. Ovviamente la società ha fatto sapere che rimedierà prima possibile alle falle individuate.
[A cura di Mauro Notarianni]
