Google悬赏100万美元 Chrome终遭骇客破解
前3年在骇客大赛中全身而退的Google Chrome浏览器,让Google自信满满,今年2月底时甚至对骇客社群发出总奖金高达100万美元的悬赏令,希望有人来破解Chrome。结果巨额奖金当头,Chrome小命也难保,8日在加拿大温哥华举办的浏览器破解大赛(Pwn2Own)中,第一天就有团队找出漏洞。
来自俄罗斯西伯利亚的大学生骇客Sergey Glazunov 透过代理伺服器传送攻击程式码攻击两个漏洞,从而绕过Chrome的「沙箱 」限制,比赛开始后不到5分钟就夺得6万美元奖金。此外,根据Google的统计表,Chrome的安全防护团队已经在24小时内修复这两个漏洞。
◄Google Chrome在2008年初始开发,整体发展目标是创造简单且有效率的用户介面绽。(图/取自维基百科)
据悉,Sergey Glazunov所属队伍 Vupen在参加比赛前,老早花了6周时间研究如何攻击Chrome。Vupen的发言人Chaoki Berkrar也承认这个任务非常不容易,他表示:「Chrome的沙箱是现有最安全的一个。要创造一个能够绕过所有沙箱安全设计的破解手法,真的很困难。」
Google在这次骇客竞赛中提供总数高达100万美元的奖金,参加的骇客必须提供浏览器漏洞的详细资料,Google再依据骇客所攻击漏洞的严重性,提供6万、4万、2万美元不等的奖金。不过,到目前为止还没有其他骇客继续挑战剩下的94万美元的奖金。
Vupen的胜利,宛如赏了Google一巴掌,他们也告诉软体开发业者一个不变的真理,那就是「世上还真没有攻不破的城池」!