Chrome binnen 5 minuten gekraakt op hackwedstrijd Pwn2Own

Het jaarlijks terugkerende Pwn2Own is eigenlijk een simpel principe: hackers krijgen drie dagen de tijd om bepaalde browsers te misbruiken voor hacks, exploits en vergelijkbare narigheid die je computer binnendringt. 'Pown' je doelwit succesvol om als 'owner' naar huis te gaan met verschillende geldprijzen. Naarmate de dagen wedstrijd verstrijkt, worden de regels versoepeld maar neemt het prijzengeld af.

Dit jaar vond het al jaren ongeslagen Chrome snel zijn Waterloo. Het lukte een Frans team in slechts 5 minuten om de boel te kraken. Het plan hiervoor hadden ze uiteraard al voor aanvang van de competitie gesmeed. Google startte dit jaar gelijktijdig zijn eigen competitie, genaamd Pwnium. Daar is het een Russische student ook al gelukt om via Chrome de rest van het systeem binnen te dringen.

Chromes zogeheten sandbox zorgt er al jaren voor dat de browser moeilijk te kraken is. Iedere tab is immers zo'n sandbox en gevaarlijke code kan zich daardoor moeilijk verspreiden. Dit lukte de Franse hackers wel, door het openen van Windows calculator via een speciale website. Hierdoor omzeilden ze onder andere de 'data execution prevention' (DEP) van Windows. De meeste Windows-gebruikers herkennen Windows' DEP waarschijnlijk aan de soms irritante pop-ups tijdens het installeren van programma's.

De Franse hackers zijn niet van plan om hun methode vrij te geven, nu dit bij Pwn2Own niet langer verplicht is. Achter het team zit het Franse bedrijf Vupen, dat dergelijke exploits aan overheden verkoopt. Mede daarom is Google dit jaar gelijktijdig zijn eigen Pwnium-competitie gestart, waarvan ze hopelijk wél leren hoe hun winning streak is beëindigd.