Google 'koopt' deelname Chrome aan hackwedstrijd

Dit is de grootste Pwn2Own-premie ooit. Google is de eerste browsermaker die geld inlegt voor de jaarlijkse hackwedstrijd, die komende maand voor de vijfde keer wordt gehouden. Pwn2Own vindt 9 maart plaats op de securityconferentie CanSecWest in Canada. De totale prijzenpot ligt nu op 125.000 dollar.

Deelname 'gekocht'

Chrome zou eerst niet meedoen aan de wedstrijd, omdat het is gebaseerd op dezelfde WebKit-engine als die van Apple's browser Safari. Toen Google van die wedstrijduitsluiting hoorde, heeft het voor deelname van zijn browser gepleit bij de wedstrijdorganisatoren, meldt de Britse ict-nieuwssite The Register. Daarbij heeft ook de kraakpremie van 20.000 dollar ingelegd.

De eerste hacker die erin slaagt om Chrome te kraken ('pwnen'), wint de 20.000 dollar van Google. De prijs voor het kraken van IE, Firefox en Safari is 15.000 dollar en de computer waarop die kraak dan wordt gepleegd. Deelnemers aan Pwn2Own moeten pc's met Windows 7 en Macs met OS X te lijf gaan.

De wedstrijdregels voor Chrome zijn wat anders dan die voor de overige browsers, meldt Webwerelds zustersite Computerworld.com. De Google-browser gebruikt namelijk een zogeheten sandbox, die webpagina's en -elementen in quarantaine plaatst. Hackers moeten voor Chrome dus twee kwetsbaarheden weten te benutten: één exploit om uit de sandbox te komen en één om dan via Chrome de computer te hacken.

Moeilijker

De moeilijkheidsgraad voor de Chrome-kraak is verder verhoogd door de wedstrijdregel dat er eerst een Chrome-exploit gebruikt moet worden. Pas op de tweede en derde dag van Pwn2Own mogen de hackers een kwetsbaarheid gebruiken die niet in Chrome zelf zit. Zij kunnen dan een lek in bijvoorbeeld Windows of Mac OS X benutten.

De Google-prijs is dan wel gehalveerd, maar wedstrijdorganisator (en security-bedrijf) TippingPoint legt er alsnog 10.000 dollar bij om toch tot 20.000 dollar te komen. Chrome is op Pwn2Own vorig jaar als enige browser niet gehackt.