2min

Tags in dit artikel

, , ,

Tijdens de wedstrijd op het CanSecWest-evenement lukt het beveiligingsonderzoekers op de eerste dag alleen Google Chrome niet te kraken.

Internet Explorer, Safari en Mozilla Firefox waren wel succesvol gecompromitteerd door beveiligingsonderzoekers tijdens de PWN2OWN-wedstrijd van TippingPoint waarbij hardware en geld te verdienen valt. Volgens hen komt dit door de innovatieve sandboxfunctie van Google Chrome.

Op de eerste dag van de wedstrijd mogen beveiligingsonderzoekers alleen de computer proberen over te nemen door een standaardinstallatie van de browser zonder plug-ins als Flash of Java te gebruiken. Vaak wordt deze dag lang van te voren voorbereid.

Oud-kampioen Charlie Miller liet eerder deze maand weten dat Apples Safari als eerste neer zou gaan, en dat gebeurde ook. De hack werd in enkele seconden succesvol uitgevoerd. Beveiligingsexpert Nils deed er langer over, maar hem lukte het alle drie de browser te kraken.

De kunst van het vinden van exploits in browsers wordt steeds commerciëler. In een interview met de Amerikaanse ZDNet liet Charlie Miller weten dat hij de exploit tijdens het voorbereiden van de wedstrijd van vorig jaar gevonden had. In plaats van er melding van te maken bij Apple, besloot hij de exploit voor de wedstrijd van dit jaar te bewaren omdat TippingPoint maar voor één exploit per wedstrijd betaalt.

"Ik geef nooit gratis bugs weg. Ik heb een nieuwe campagne genaamd ‘Geen gratis bugs meer’. Lekken hebben een marktwaarde dus het slaat nergens op om hard te werken voor het vinden van een bug, een exploit te schrijven en hem dan gratis weg te geven", aldus Miller tegenover ZDNet. "Apple betaalt mensen om hetzelfde werk te doen dus we weten dat dit werk wat waard is."

Miller vertelde verder dat hij speciaal voor Safari op Mac OS X gekozen had omdat dat besturingssysteem functies als address randomization mist. Ook had hij een Google Chrome-lek ontdekt, maar kon hij dat niet uitbuiten vanwege Chromes sandboxfunctie.

Overigens was het geen van de beveiligingsonderzoekers op dag drie gelukt om een mobiel apparaat te kraken.