Sau khi trở thành trình duyệt bất khả chiến bại tại cuộc thi Pwn2own 2011, Google tuyên bố thưởng 60.000 USD cho bất cứ ai khai thác thành công lỗ hổng của Chrome trên Windows 7.
Pwn2own là cuộc thi hack được tổ chức thường niên ở Canada và năm nay, lần đầu tiên Sergey Glazunov, người Nga, qua mặt được các tính năng bảo mật trên Chrome để chiếm quyền điều khiển Windows PC. Cậu sinh viên này từng thu về hàng chục nghìn USD nhờ phát hiện các lỗi trong Chrome trước đó nhưng đây là món hời nhất cậu kiếm được.
“Đó là một cuộc khai thác ấn tượng, đòi hỏi phải am hiểu rất sâu về cơ chế hoạt động của Chrome. Glazunov xứng đáng có 60.000 USD”, chuyên gia Justin Schuh thuộc bộ phận Google Chrome nhận xét.
Cơ chế bảo mật của Chrome được đánh giá mạnh hơn nhiều so với trình duyệt đối thủ nhờ được trang bị công nghệ gọi là sandbox (hộp cát) giúp Chrome hoạt động tách biệt với phần còn lại của hệ điều hành. Do đó, cả khi nó bị tấn công, hacker cũng không giành được toàn bộ quyền kiểm soát hệ thống.
Chrome không còn là trình duyệt bất khả chiến bại. |
Cũng tại cuộc thi này, không chỉ Sergey Glazunov, một nhóm hacker khác đến từ Pháp là Vupen cũng khống chế được Chrome chỉ trong chưa đầy 5 phút.
“Chúng tôi muốn chứng minh Chrome không phải là không thể phá vỡ”, đại diện của Vupen cho hay. “Năm ngoái, chúng tôi đọc rất nhiều bản tin nói về việc không ai khai thác được Chrome trong khi Internet Explorer và Firefox bị hack dễ dàng. Chúng tôi muốn Chrome sẽ bị hạ gục năm nay”.
Vupen mất 6 tuần để phát hiện ra hai lỗ hổng chưa được biết đến trong Chrome. Họ cũng đã tìm ra cách tương tự để hạ Firefox và Internet Explorer nhưng muốn thành công với Chrome trước.
“Rất khó tạo một quy trình để có thể hạ được công nghệ sandbox của Google. Tôi dám khẳng định Chrome là trình duyệt bảo mật nhất hiện nay”, Vupen nói. Tuy nhiên, họ từ chối mô tả chi tiết lỗ hổng với lý do “để dành cho khách hàng”. Vupen là tổ chức gây nhiều tranh cãi trong giới bảo mật vì chuyên bán lỗ hổng phần mềm mà họ phát hiện ra cho các tổ chức do thám của chính phủ.
Do chưa từng có hacker nào khai thác được Chrome tại Pwn2own, Google năm nay đưa ra ba mức thưởng với tổng số tiền thưởng tối đa Google lên đến 1 triệu USD: Mức 1: 60.000 USD cho người khai thác thành công lỗ hổng của Chrome trên Windows 7 với quyền hạn user (không có quyền quản trị). Mức 2: 40.000 USD cho người hạ gục Chrome bằng cách khai thác một lỗ hổng trên Windows 7 kết hợp với một lỗ hổng trong Chrome. Mức 3: 20 .000 USD cho người hạ được Chrome từ những lổ hổng của các ứng dụng thứ ba như Flash. |
Châu An