De organisator van hackwedstrijd Pwn2Own denkt dat het moeilijk gaat worden voor hackers om Chrome te kraken. Volgens organisator Aaron Portnoy op Computerworld.com zal de browser zeker de eerste dag van de wedstrijd overleven, als er een kwetsbaarheid in Chrome zelf moet worden gebruikt.

Enige met een sandbox

Volgens Portnoy zal Chrome het langer volhouden dan de concurrentie omdat het de enige grote browser is die een sandbox gebruikt. Die sandbox isoleert systeemprocessen waardoor het voor malware theoretisch onmogelijk is om te ontsnappen uit een applicatie met sandbox en de computer te besmetten.

Om een applicatie met sandbox als Chrome te misbruiken kunnen hackers niet vertrouwen op één kwetsbaarheid in de applicatie. Zij hebben er dan twee nodig: De eerste om uit de sandbox te ontsnappen en de tweede om uit de applicatie zelf te komen. Volgens de Nederlandse beveiligingsspecialist Peter Vreugdenhil, dit jaar jurylid op Pwn2Own is de sandbox daarom de grootste horde om Chrome te hacken.

Twee bugs in één maand

Om die horde in stand te houden, patchte Google vorige week een bug in Chrome die het mogelijk zou maken om uit de sandbox van Google te geraken. Dat meldt althans het Franse beveiligingsbedrijf Vupen. Het zou de tweede kwetsbaarheid in Chromes Sandbox in korte tijd zijn. Volgens Adobe repareerde Google op 12 januari al een soortgelijke bug.

De patch voor deze bug is goed getimed. Als de hackers van Pwn2Own tijdens de wedstrijd nog de mogelijkheid hadden om de fout in de browser te misbruiken, had dat Google 20.000 dollar gekost. Dat is het prijzengeld voor de eerste hacker die Chrome weet te kraken. Die prijs is 5.000 dollar hoger dan voor hackers die een andere grote browser weten te kraken.

Google heeft het prijzengeld zelf ter beschikking gesteld. De browser van de zoekgigant zou oorspronkelijk namelijk niet mee mogen doen aan de hackwedstrijd, omdat de browser net als Safari is gebaseerd op de WebKit-engine. Pas nadat Google zelf 20.000 dollar prijzengeld neertelde werd de browser toegelaten tot de wedstrijd.

Hogere moeilijkheidsgraad

De moeilijkheidsgraad ligt tegelijk ook hoger dan bij de concurrentie. Hackers mogen op de eerste dag alleen een bug in Chrome zelf misbruiken. Pas vanaf de tweede dag mogen zij een bug in bijvoorbeeld het besturingssysteem gebruiken. Weet de eerste hacker de browser niet op de eerste dag te kraken, dan blijft het prijzengeld 20.000 dollar maar wordt dat door Google en hoofdsponsor HP TippingPoint samen opgebracht.

Portnoy zegt er overigens vrij zeker van te zijn dat de meeste of zelfs alle browsers wel gehackt zullen worden. Chrome zal dus de meeste tijd kosten om te hacken. Tenminste, als de browser al gehackt wordt. De populaire browser van Google verliet de afgelopen twee afleveringen van de hackwedstrijd ongedeerd.