Google tävlar ut en miljon dollar för att knäcka Chrome

Säkerhet - Publicerad 2012-03-01 16:15 Skriven av Carl Holmberg

När hackertävlingen Pwn2Own går av stapeln nästa månad kommer Google delta på ett annat sätt än tidigare. Istället för att ställa upp som sponsor har de en egen tävling på plats - med upp till en miljon dollar utlovade till de som kan knäcka deras webbläsare.

Pwn2Own är en tävling där hackare får möjlighet att testa sina färdigheter mot allehanda mjukvaror, så som operativsystem, webbläsare och andra applikationer, och kan vinna priser i processen. I gengäld får utvecklarna på ett effektivt sätt reda på säkerhetshål i sin mjukvara som de sedan kan rätta till. Google har varit sponsorer av tävlingen sedan 2009, men ändringar i reglerna har fått företaget att ändra på sitt deltagande. 

"We decided to withdraw our sponsorship when we discovered that contestants are permitted to enter Pwn2Own without having to reveal full exploits, or even all of the bugs used, to vendors.[…]Full exploits have been handed over in previous years, but it's an explicit non-requirement in this year's contest, and that's worrisome," Chris Evans och Justin Schuh, Chromes säkerhetsteam hos Google

Regeländringen Google syftar på framgick i en Twitteruppdatering från ZDI (Zero Day Initiative, ett bughittarutskott från HP TippingPoint), som är huvudsponsor och ansvarar för tävlingen. I uppdateringen konstaterades att deltagarna bara behöver överlämna en rapport till utvecklaren om de vinner en tävling - om de lyckas hitta säkerhetshål men inte vinner får de hålla informationen för sig själva, vilket enligt Google representerar en allvarlig säkerhetsbrist i tävlingen.

Istället har Google valt att anordna en egen tävling parallellt med Pwn2Own på datorsäkerhetskonferensen CanSecWest i år. Till skillnad från tidigare tävlingar, då Google utlovat en belöning på 20 000 dollar för en exploatering som bygger på enbart brister i Chrome i Windows-miljö, erbjuder Google i år 60 000 dollar för samma bedrift. De erbjuder också 40 000 dollar för en exploatering som bygger på brister i Chrome tillsammans med brister i annan programvara, såsom brister i Windows. Google har dock satt ett maxtak på en miljon dollar, så för dem som vill ha chansen att vinna pengar är det först till kvarn som gäller.

För att förhindra att exploatering från Googles tävling används i Pwn2Own måste alla deltagandes exploateringar redovisas för Google, varesig de leder till ett pris eller inte.

Källa: ComputerWorld