Photo: Alexandre Dulaunoy/Flickr
日前在加拿大溫哥華舉行的CanSecWest安全大會中,Google舉辦Pwnium 3駭客大賽,縱使祭出314萬1590美元(沒錯,是圓周率π)高額獎金,仍沒有駭客發現Chrome OS破綻,不過在另一場破解瀏覽器的大賽Pwn2Own就沒這麼幸運了,Chrome瀏覽器造駭客入侵,拱手奉上數十萬美元獎金。
Pwnium 3和Pwn2Own都是CanSecWest安全大會上的重點賽事,駭客難得齊聚一堂,看誰有辦法能找出Google的軟體漏洞抱走獎金。
Pwn2Own對駭客下戰帖,要他們找出各家瀏覽器的0day漏洞,根據維基百科,0day通常是指未修補的程式漏洞,掌握多少0day是駭客技術水平的重要參數之一。
今年參賽的瀏覽器有:Firefox、 Internet Explorer、Safari和Chrome,很不幸地以上瀏覽器都抵擋不了駭客攻勢;而第三屆Pwnium大賽中,Chrome OS展現了固若金湯的安全性能,即使大會延長比賽時間,仍讓各路駭客無法進犯。
Pwnium 3參賽者用的是Samsung S5 550 Chromebook筆電,必須在1月28日開始到3月7日下午2時止找出安全漏洞,後來大會在氣急的駭客們要求下,延長截止時間3小時,但終究無法攻破Chrome OS。
Google提供非常優渥的獎金,若透過網頁以guest或登入使用者模式造成瀏覽器或系統等級破壞可獲11萬美元獎金,若透過網頁對裝置造成持久性破壞可得15萬美元獎金,此為單一漏洞獎金,最高總獎金為314萬1590美元。
Google在大會閉幕時表示,雖然有些駭客發現部分漏洞但仍不符獲獎資格,這對Google來說是個好消息,證明了Chrome OS作業系統的確如其所說,是個高度安全且「零病毒」的系統,但Kaspersky Labs有研究提出質疑,Chrome OS用戶可能會受到Chrome的惡意App侵擾,正如Android使用者曝露在危險的軟體中一樣。
另一方面,Pwn2Own比賽中其他家瀏覽器表現都差強人意,Firefox、Chrome 和 IE10幾小時內就被打倒,Apple的Safari本屆幸免於難,不過那是因為沒有參賽者報名破解它。
安全研究室MWR Labs找出IE和Chrome的0day漏洞奪下首獎6萬美元獎金,研究員Vincenzo Iozzo和Willem Pinckaers攻克Firefox瀏覽器,拿下挑戰賽第2名,獎金3萬美元。
防毒公司 Sophos表示,在Pwnium登場前2天有人發現Chrome漏洞,Google立刻加以修補,這或許是Chrome OS在本屆有此優異表現的原因之一。
此外,因Chrome OS是以Linux核心為主,一般認為會比其他系統要來的安全,原因在於,Linux系統的權限給予方式和開放源碼的特質(有人認為開放環境不利惡意程式生存),且Chrome OS同時還加入安全計算模式Seccomp(Secure Computing Mode)過濾電腦病毒,可以快速檔下駭客們的砲火攻擊。
因此,如果安全是首要考量,那麼Chrome OS應該不會讓大部分的消費者失望。
from WIRED.tw http://wired.tw/2013/03/13/hackers-fail-hack-chrome-os/index.html
