Google looft prijs uit voor Pwn2Own-hack Chrome

Tijdens de vijfde Pwn2Own looft Google 20.000 dollar uit aan de deelnemer die Chrome op dag één hackt. Op het evenement van TippingPoint krijgen hackers de kans om browsers of mobiele telefoons binnen een bepaalde tijd te hacken.

Chrome krijgt twee wedstrijden. Op de eerste dag zijn 20.000 dollar en de eigen CR-48-laptop van Google binnen te slepen. Een deelnemer mag op die dag alleen zwakheden in Googles eigen code misbruiken. Als er die dag geen succesvolle deelnemers zijn, looft TippingPoint op dag twee of drie 10.000 dollar uit voor een sandbox escape in non-Google code. Google doet daar op die dagen 10.000 dollar bij. Plug-ins buiten de ingebouwde pdf-ondersteuning van Chrome zijn uit den boze.

Googles actie is onderdeel van de browsercompetitie. Bij de browsers zijn dit jaar ook Internet Explorer, Safari en Firefox onder de slachtoffers. Iedere browser wordt geïnstalleerd op een 64bit-versie van OS X of Windows 7. Een succesvolle hack levert een deelnemer in ieder geval 15.000 dollar op, de laptop waarop hij zijn poging deed en 20.000 ZDI-punten. Deze punten horen bij het Zero Day Initiative, een onderdeel van TippingPoint. Iedere deelnemer krijgt dertig minuten toegewezen.

Mobiele-telefoonhacks vinden plaats op een base station. Hierdoor kunnen deelnemers de base bands van de telefoon aanvallen. De Dell Venue Pro met Windows Phone 7, de iPhone 4, de BlackBerry Torch 9800 met BlackBerry 6 en de Nexus S met Android zijn hier de slachtoffers. De deelnemer moet een aanval bedenken die weinig interactie van de gebruiker vereist en er moet bruikbare informatie op de telefoon worden gecomprimeerd. Een succesvolle poging levert de hacker 15.000 dollar op, het apparaat zelf en wederom 20.000 ZDI-punten.

Vorig jaar wist Nederlander Peter Vreugdenhil enkele kwetsbaarheden in IE8 te benutten door de beveiliging van Windows 7 te omzeilen. Dit jaar is hij jurylid bij deze competitie. Pwn2Own vindt plaats op 9, 10 en 11 maart te Vancouver, tijdens de CanSecWest-conferentie.