Googles nettleser har alltid kommet seg helskinnet gjennom Pwn2Own-konkurransen. Det er et slags uformelt hacker-VM som arrangeres årlig under sikkerhetskonferansen CanSecWest i Vancouver, Canada.
Søkegiganten la i fjor 20.000 dollar på bordet til den eller de som klarte å knekke sikkerheten i Chrome, men ingen lyktes.
Det blir likevel småpenger mot årets pott. Google kunngjorde i går at de gir opptil 1 million dollar i premie.
Chrome regnes som vanskelig å angripe, mye takket være at innhold kjøres i beskyttede minneområder med såkalt sandkasse-teknologi. Å utnytte en sårbarhet for å skaffe seg tilgang på dette nivået er ikke tilstrekkelig. Angriperen må også trenge ut av sandkassen, for eventuelt å kunne ta kontroll over datamaskinen, som er målet med konkurransen.
Trøstepremie
I tillegg lover Google å gi 20.000 dollar i «trøstepremie» under neste ukes Pwn2Own, for de som klarer å utnytte sårbarheter i Windows, Flash eller drivere som ikke er Chrome-relatert, men som i mer generell forstand truer brukere av alle nettlesere.
- Selv om dette ikke spesielt er myntet på Chrome, har vi besluttet å gi trøstepremier fordi slike funn også bidrar i målet vårt om å gjøre hele weben tryggere, skriver selskapet i et blogginnlegg som nærmere forklarer forutsetningene for å vinne.
Det konkurreres i flere ulike grener. Alle vinnerne skal også få hver sin Chromebook.
Sårbarhetene som benyttes må være av kritisk karakter, og ekte såkalte nulldags-sårbarheter som ikke er kjent fra før.
«Kaprer» konkurransen
Tilbudet fra Google går potensielt langt utenpå summene som konkurransens offisielle sponsor HP byr på, med henholdsvis 60.000 dollar i førstepremie, og noe mindre til andre- og tredjeplass.
Årsaken til at Google jekker opp premiene ligger i en kontroversiell endring av årets konkurranseregler, som medførte at Google trakk seg som sponsor.
Ved tidligere års konkurranser har Pwn2own forutsatt at deltakerne også oppga alle detaljer rundt sårbarhetene til leverandørene av produktene som knekkes. Ifølge Google har denne forutsetning nå blitt sløyfet.
Det er først hvis deltakerne likevel oppgir detaljene til Google at de oppfyller kravene til de ekstra utbetalingene.
- Fullstendige (rapporter) om utnyttede sårbarheter har blitt overlevert ved tidligere år, men det stilles ingen slik krav denne gangen, hvilket bekymrer oss. Derfor kjører vi dette alternative Chrome-spesifikke belønningsprogrammet. Det er utformet for å være attraktivt, ikke minst fordi det spiller på lag med brukersikkerheten ved at vi krever å få hele sårbarhetsrapporten overlevert. Vi garanterer å sende alle sårbarheter som ikke er Chrome-relaterte til den aktuelle leverandøren umiddelbart, skriver selskapet.
Les også:
- [09.03.2012] Fjerner Pwnium-sårbarhet fra Chrome
- [08.03.2012] Chrome hacket på fem minutter
- [05.03.2012] Fjerner spektakulære sårbarheter
- [08.11.2011] Fant stort sikkerhetshull i iPhone
- [10.05.2011] Trenger gjennom all sikkerhet i Chrome
- [11.03.2011] iPhone og Blackberry falt for hackere
- [24.11.2010] Derfor er Mac lett å knekke
- [04.08.2010] Imponert og skremt av iPhone-hack
- [30.07.2010] - Trygge Apple er en myte
- [15.04.2010] Apple fjerner Pwn2Own-sårbarhet
- [26.03.2010] - Apple og Microsoft kan finne hullene selv
