Seguridad de Google Chrome en entredicho tras concurso de hacking

En el marco de la conferencia de seguridad CanSecWest que se celebró en Vancouver (Canadá) hace una semana, Google Chrome muestra sus primeras debilidades de seguridad. En dos concursos de hacking, el navegador ha caído tres veces… La primera vez que pasa en cuatro años.

Hasta ahora, Google Chrome parecía inmune a los ataques de los piratas informáticos pero parece que este es el final de una era, ya que los hackers han roto las defensas del navegador en dos concursos de hacking. Este último se llevó a cabo en el marco de la conferencia de seguridad CanSecWest, que se celebró la semana pasada en Vancouver (Canadá).

Mientras que Internet Explorer, Safari y Firefox cayeron cada año bajo el ataque de hackers en el evento, Chrome salió siempre ileso, hasta este año.

Para empezar, fue durante el Pwn2Own, un prestigioso concurso de hacking, que Vupen, una empresa de seguridad francesa, consiguió perforar la “armadura” de Chrome. Después de seis semanas de trabajo antes del evento, estos especialistas sólo necesitaron unos minutos para demostrar los límites del navegador de Mountain View. “A través de la consulta a una página Web y sin interacción por parte del usuario, dos debilidades de seguridad fueron explotados para tomar el control de un ordenador equipado con Windows 7“, dijo el co-fundador de Vupen, Chaouki Bekrar, a nuestros colegas estadounidenses de ZDNet.

Pwnium, concurso de seguridad informática de Google

Además de la Pwn2Own, se celebró otro concurso llamado Pwnium financiado por Google y que se mantuvo al margen de CanSecWest. Durante este dos jóvenes piratas informáticos han encontrado cinco debilidades de seguridad en el navegador. Ellos fueron premiados por Google con la suma de 60000 dólares cada uno. © Pwnium

Sin ánimo de ofender a Google, los autores de esta hazaña no han precisado nada más acerca de las debilidades que se habrían explotado para lograr sus fines. Sin embargo, parece que se han beneficiado de la debilidad de un componente de Flash para anular la protección de la caja de arena (“sandbox”), la función del navegador que impide la instalación de malware en el ordenador.

Google desafía a los hackers

El año pasado, Google financió un segundo concurso: el Pwnium. A diferencia del Pwn2Own, el gigante de las búsquedas online, de hecho, en Pwnium los ganadores deben revelar las lagunas del navegador. Una forma asequible y eficaz para asegurar el navegador de Google… Para el segundo concurso, es Sergey Glazunov, un estudiante ruso, que se embolsó un premio de 60000 dólares (45000 euros). También se las arregló para eludir la sandbox, y esto, ocultándose a través de dos debilidades de seguridad en el navegador.

¿Chrome debilitado? Sundar Pichai, vicepresidente a cargo de Google Chrome, da la bienvenida a esto y reaccionó de inmediato en su perfil de Google+: “Estamos trabajando con rapidez a un parche que se aplica en una actualización automática“. Y ya lo han hecho con la versión de Chrome 17.0.963.78.

Otras tres debilidades de seguridad han sido descubiertas por un adolescente conocido por el apodo de Pinkie Pie. También omite la sandbox y también se ha embolsado los 60000 dólares de premio. Irónicamente, el joven hacker había enviado su curriculum vitae a Google, que lo había desestimado…

vupen

Chaouki Bekrar y sus compinches de Vupen, una empresa de seguridad francesa, han demostrado los límites de Google Chrome la semana pasada en Vancouver en el concurso de hacking Pwn2Own. © Vupen