Google Chrome heeft het gedurende de CanSecWest al meermaals moeten ontgelden, maar ook een derde hack kon blijkbaar niet uitblijven. Een tiener die zichzelf de naam ‘Pinkie Pie’ geeft was verantwoordelijk voor de laatste hack van de browser. Google heeft het lek in de tussentijd reeds gedicht.
Google Chrome werd reeds gehackt door het Franse bedrijf Vupen en de Russische Sergey Glasnov, respectievelijk voor de Pwn2Own- en de Pwnium-wedstrijden. Een verschil tussen deze wedstrijden dat voor Google erg van belang is, is dat bij de Pwn2Own-wedstrijd voor het eerst geen details over de hack geopenbaard hoeven te worden. Vupen is een bedrijf dat details over kwetsbaarheden aan overheden verkoopt en zal de hack dan ook niet openbaren aan Google.
De hack van de tiener Pinkie Pie viel onder de Pwnium-wedstrijd en was goed voor de hoogste gradatie in prijzengeld. Google loofde prijzen van 20.000, 40.000 en 60.000 dollar uit voor degenen die hacks openbaarden. De hoogte van het prijzengeld wordt bepaald aan de hand van hoe ernstig een hack blijkt te zijn.
Pinkie Pie kon naar eigen zeggen al vrij gauw uit de Sandbox-omgeving van Chrome breken, dit deed hij middels maar liefst drie 0-day kwetsbaarheden in de beveiliging. Nadat dit eenmaal gelukt is, had Pinkie Pie voldoende tijd om de hack te perfectioneren. In totaal zou de tiener zo’n anderhalve week in de hack hebben gestoken.
9 uur geleden
