Chrome é invadido em desafio de hackers.

Em concurso de hackers CanSecWest Pwn2Own realizado em VANCOUVER no ano passado, o Google Chrome foi o único navegador que não caiu diante dos hackers. Este ano o Chrome foi o primeiro a cair, graças a uma impressionante façanha de uma equipe de hackers franceses.

A VUPEN, uma empresa que vende vulnerabilidades e exploits para clientes do governo, mandou ao Chrome este ano uma mensagem simples: nenhum software é inviolável se os hackers possuem motivação suficiente para preparar e lançar um ataque.

Chaouki Bekrar co-fundador e chefe de pesquisa da VUPEN e sua equipe usaram um par de vulnerabilidades tipo “zero day” para assumir o controle total de uma máquina de Windows 7 (SP1) de 64 bits totalmente atualizada. Como parte do novo formato da competição, a VUPEN ganhará 32 pontos para a exploração bem-sucedida do Chrome.

Em uma entrevista, Bekrar disse que sua equipe trabalhou durante cerca de seis semanas até encontrar as vulnerabilidades e gravar as façanhas. “Tivemos que usar duas vulnerabilidades. O primeiro foi contornar a DEP e ASLR no Windows e um segundo para sair da caixa de proteção (sandbox) do Chrome.”

Bekrar recusou-se a dizer qualquer coisa se códigos de terceiros foram alvo no navegador. “Foi uma vulnerabilidade da instalação padrão do Chrome”,  nós trabalhamos explorando a instalação padrão por isso realmente não importa se é um código de terceiro.”

No ano passado, VUPEN lançou um vídeo para demonstrar uma escapada bem-sucedida do sandbox do Chrome, mas o Google desafiou a validade desse feito, alegando que explorar código de terceiros não era válido, acreditou-se na época que era explorada uma falha do plug-in Adobe Flash Player.

Na Pwn2Own este ano, equipe da Bekrar veio equipado para falhas zero day para todos os quatro principais navegadores — Google Chrome, Microsoft Internet Explorer, Apple Safari e Mozilla Firefox — mas ele disse que a decisão de quebrar primeiro o Chrome foi uma tática deliberada.

“Nós queríamos mostrar que o Chrome não era inquebrável. No ano passado, vimos um monte de artigos que ninguém poderia invadir o Chrome, nós queríamos que todos soubessem de que ele foi o primeiro a cair este ano,”disse ele.

Bekrar criou uma página da web para demonstrar seu exploit. Uma vez que o site foi visitado, o exploit funcionou e abriu a aplicação calculadora (Calc. exe) fora do sandbox. “Não houve nenhuma interação do usuário, nada de cliques extras. Visitou o site, bateu com a cara na parede.”

Mesmo na glória de derrotar o altamente elogiado sandbox do Chrome, Bekrar foi muito cortes sobre o trabalho realizado pela equipe de segurança do Google que adicionou mecanismos anti-exploit no navegador. “O sandbox do Chrome é o mais seguro. Não é uma tarefa fácil criar um exploit para vencer todas as proteções no sandbox. Posso dizer que o Chrome é um dos navegadores mais seguros disponíveis.” e adicionou o puxão de orelhas “Isso só mostra que qualquer navegador ou qualquer software, pode ser invadido se houver suficiente motivação e habilidade.”

A competição continua, Internet Explorer, Apple Safari e Mozilla Firefox sem dúvida serão as próximas vítimas.

Fonte: http://www.baboo.com.br

Um comentário

  1. COBRA~KABANNA líder

    8 de março de 2012 em 18:33

    Isso mostra que o navegador sem COMPLEMENTOS são mais seguros, esse APP nao tem a mesma seguranca q o navegador se dedica a evoluir

    Resposta

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Verifique também

Novo iPhone pode ser lançado dia 13 de outubro, sugerem fontes.

A Apple pode estar próxima de lançar o novo iPhone 12 no dia 13 de outubro. A informação é…