Google Chrome è stato il primo browser a essere craccato al contest per hacker Pwn2own. Il browser di Google era riuscito per due anni ad evitare intrusioni ma quest’anno è stato il primo a cadere sotto gli attacchi degli hacker, probabilmente incitati dai grossi premi in denaro offerti dal gigante della ricerca per chi avesse scoperto falle nel prodotto ($60000 per un massimo di 1 milione).

Il collettivo francese Vupen, che si finanzia in maniera controversa vedendo falle informatiche ai  governi, è riuscito a creccare il browser dopo 5 soli minuti dall’inizio della competizione, sfruttando un bug presente nello stesso Chrome.

Justin Schuh, del team Google Chrome, ha sottolineato che l’attacco “non è evaso completamente dal sandbox… lo ha evitato.”

Chaouki Bekrar, fondatore del gruppo di hacker, ha affermato, al contrario, che l’attacco ha sfruttato due debolezze. “La prima era bypassare DEP e ASLR su Windows e la seconda evadere dal Chrome sandbox.” La falla era stata scoperta dal gruppo a maggio scorso, quindi potrebbe essere stata già venduta o sfruttata.

Vupen, che dichiara di aver individuato falle nella sicurezza, anche degli altri browser, ha deciso di concentrarsi su Chrome per dimostrare che “non era invulnerabile.  L’anno scorso, abbiamo visto un sacco di titoli che sostenevano che nessuno poteva hackerare Chrome. Volevamo essere sicuri che fosse il primo a cadere quest’anno.” Bekrar ha ammesso, però, che non è semplice hackerare il browser e che è uno dei più sicuri in circolazione.

Safari è stato il secondo a cadere sotto i colpi di Vupen. Il browser Apple durante le edizioni precedenti era solitamente il primo ad essere hackerato.