Como mencionamos recentemente, o Google havia criado ofertas de prêmio de US$ 1 milhão de dólares para aqueles que conseguissem quebrar a segurança de seu navegador Chrome, o único “seguro” nas seis edições da competição. Desta vez, o navegador caiu diante da equipe Vupen, que conseguiu assumir o controle pouco depois de iniciar o teste em um computador com Windows 7.

Este ano, após o anúncio do Google, todos os olhos pareciam se voltar para o navegador da gigante. Assim, ele foi o primeiro a cair, em apenas cinco minutos, embora, como a equipe Vupen explicou mais tarde, existiu muito trabalho por trás da façanha.
Pwn2Own é um concurso de hackers que ocorre na conferência anual de segurança CanSecWest, em Vancouver (Canadá). Trata-se de um teste onde o objetivo é descobrir falhas de segurança em navegadores e dispositivos móveis para assumir o controle total dos sistemas.
Vupen, a empresa de segurança francesa que no ano passado foi a primeiro a decifrar as rachaduras no Safari, foi a equipe que conseguiu a “proeza” de assumir o controle do sistema do Chrome em um computador com Windows 7.
Por isso e segundo eles contam, desenvolveram um plano de ataque durante seis semanas. Um método que se aproveitava de um site criado como isca durante a invasão. Uma vez que o equipamento visitava o endereço, tomavam posse das extensões do navegador fora do sandbox.
Ainda assim, segundo o grupo Vupen, o Chrome continua sendo o navegador mais seguro. “O sandbox do Chrome é o mais seguro que existe. Não é uma tarefa fácil criar um exploit completo que passe todas as proteções. Ainda assim, queríamos mostrar que o Chrome não é inquebrável. No ano passado vimos um monte de manchetes afirmando que o Chrome não poderia ser hackeado. Queríamos garantir que o Chrome seria o primeiro a cair este ano”.
Após vários anos tentando detectar uma falha no Chrome, o mito é quebrado em 2012. Um benefício mútuo. Enquanto Vupen recebe a recompensa e o reconhecimento, o Google pode, finalmente, melhorar a segurança do seu navegador depois de revelado o primeiro exploit público.

Fonte: IT Web