Sonstiges

Hacker-Contest Pwn2Own: Chrome erstmals gehackt

Auf den ersten Blick ist es eigentlich keine große Nachricht: In diesem Jahr ist Google Chrome auf dem alljährlich stattfindenden Hacker-Contest Pwd2Own auf der CanSecWest-Konferenz in Vanvouver als erster Browser von einem Teilnehmer-Team geknackt worden. Angeblich innerhalb weniger Minuten. Fast zeitgleich gelang es dem russischen Entwickler Sergey Glazunov auf dem parallel stattfindenden Google-Wettbewerb Pwnium ebenfalls, Chrome über zwei bisher unbekannte Schwachstellen (Zero Day) zu hacken. Allein dafür erhielt er von Google 60.000 Dollar Preisgeld aus einem Prämientopf von insgesamt 1 Million Dollar.

Nun gut, könnte man sagen, warum nicht zur Abwechslung auch einmal Chrome? Ganz einfach: Weil Chrome in Sachen Sicherheit als die Königsklasse der Browser gilt. Seit der Erstveröffentlichung 2009 hatte es etwa auf dem Pwd2Own-Contest kein einziger Herausforderer geschafft, die unzähligen Riegel und Schlösser des Internetbetrachters aufzubrechen. Chrome blieb als einziger Browser zwischen Internet Explorer, Mozilla Firefox und Apple Safari gegenüber allen Attacken stets standhaft.

Für maximal mögliche Sicherheit sorgen dabei Elemente, die mittlerweile in Teilen auch bei der Konkurrenz Einzug halten – etwa permanente, automatische Updates oder ein als nahezu unüberwindbar geltendes Sandbox-Konzept. Und doch soll es am gestrigen Mittwoch nur ein paar Minuten gedauert haben, alle Chrome-Barrieren zu überwinden. Ergo: Letztendlich scheint es ja doch egal zu sein, welchen Browser ich nutze.

Um es ganz klar zu sagen: Ist es auch weiterhin nicht. Denn auf den zweiten Blick zeigt sich, dass Chrome doch nicht allzu viel von seinem Nimbus verloren hat. Im Interview mit ZDNet erklärte selbst der Leiter des für den erfolgreichen Chrome-Hacks verantwortlichen Teams der französischen Sicherheitsfirma VUPEN, Chaouki Bekrar, dass die Chrome-Sandbox die sicherste ihrer Art bleibe.

Sechs Wochen hätten er und seine Mitarbeiter intensiv nach möglichen Angriffspunkten gesucht. Schließlich sei die Attacke inklusive Ausbruch aus der Sandbox über zwei verschiedene Lücken gelungen. Anschließend habe man die volle Kontrolle über das genutzte 64-Bit-System mit voll gepatchtem Windows 7 übernehmen können. Zugeschnappt hat die Falle im Drive-by-Verfahren während des Besuchs einer präparierten Website – im Ernstfall ohne Zutun des Nutzers.

Ob dabei möglicherweise Programmcode eines Drittanbieters eine Rolle gespielt hat, wollte Bekrar nicht weiter kommentieren. Dies nährt zumindest den Verdacht, dass es so sein könnte. Denn bereits im vergangenen Jahr war es VUPEN eigentlich gelungen, die Chrome-Sicherheitsvorkehrungen auszuhebeln. Google weigerte sich anschließend jedoch, dies anzuerkennen, da dabei Adobes in Chrome integriertes Flash-Plugin als Einfallstor herhalten musste. Die Kette ist eben nur so stark, wie ihr schwächstes Glied.

Ich vermute jedenfalls, Bekrar nahm dies Google übel und auch ein wenig persönlich. Dementsprechend motiviert ging das Team nun wohl zur Sache und setzte das Projekt Chrome auf die oberste Prioritätsstufe. Offiziell klingt dies natürlich ein wenig abgeklärter: Man habe zeigen wollen, dass Chrome nicht unangreifbar ist. Im vergangenen Jahr habe es zu viele Schlagzeilen gegeben, denen zufolge niemand Chrome hacken könnte. „Wir wollten daher sicherstellen, dass der Browser in diesem Jahr als erstes fällt“, so Bekrar.

Nun ja, es ist gelungen – leider in diesem Fall nicht unbedingt zum Vorteil der Nutzer. Denn VUPEN handelt gewerblich mit dem Wissen über gefundene Schwachstellen in Software-Produkten. Eines der beiden Lecks soll daher „verkauft“ werden. Das zweite, welches für den Ausbruch aus der Sandbox genutzt wurde, bleibe unter Verschluss, so Bekrar. Solange Chrome in Sachen Browser-Sicherheit weiterhin das Maß aller Dinge ist, spielt dies aber wohl ohnehin nur eine nachgeordnete Rolle. Die Mehrheit der täglichen Angriffe wird sich auch künftig gegen leichtere Ziele richten, wenngleich fest integrierte Drittanbieter-Software wie der Flash Player natürlich eine Achillesferse des Google-Browser bleibt.

(Christian Wolf)


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Christian Wolf

Christian Wolf wird am Telefon oft mit "Wulff" angesprochen, obwohl er niemals Bundespräsident war und rast gerne mit seinem Fahrrad durch Köln. Er hat von 2011 bis 2014 für BASIC thinking geschrieben.

7 Kommentare

  • Ich finde solche Hacker Contests wirklich gut. So können die Programme ausgefeilt werden und eventuelle Lücken schließen damit die Hacker es schwerer haben. Ich bin auch der Meinung das Chrome der beste Browser ist. Mit Mozilla hatte ich mal ganz schlechte erfahrungen machen müssen im zusammenhang von maleware. Also immer schön Chrome benutzen;)

  • welches preisgeld gab´s denn eigentlich für das team beim Pwd2Own?

    erwähnt is zwar der prämientopf und auch beim Pwnium wurde ja das preisgeld genannt.

    generell find ich es gut, dass es solche contests gibt, da müssen die leute die daran interessiert sind schwachstellen zu finden, diese nicht unter erpressung zu geld machen 🙂

  • Das kapier ich nicht ganz ! Normalerweise werden Hacker bestrafft wenn sie irgendeine Webseite z.B. mit Bekleidung von Bench knacken und in diesem Fall bekommen sie 60.000 Dollar. Ich seh schon ich hab was falsches gelernt 😉 Trotzdem guter Beitrag.

    Gruß Andi

  • Hi Andi,
    in diesem Fall sollten die Hacker eine Schwachstelle bei Chrome finden, damit Google jegliche Lücken schließen kann. Es war also für einen guten Zweck 🙂

  • Mich würde auch mal interressieren wie hoch die Prämie oder das Preisgeld lagen. Ich kann Jas nur zu stimmen, ich bin auch der Meinung, dass Chrome einer wenn nicht der beste Browser auf dem Markt ist. Das einzige was mich ein wenig stört ist die Lesezeichen-funktion und der Aufbau der leisten, da könnte man noch was tun. Sowas wurde beim Hacker Contest bestimmt nicht festgestellt:D

  • Misst, doch den falschen Beruf erlernt.
    Wenn man das so liest könnte man meinen man wäre auf dem Kinderspielplatz.
    Ich finde solche Themen eigentlich immer relativ amüsant.
    Jede Software hat irgendwo eine Sicherheitslücke und wenn sie sich durch Dritte auftut.
    Am sichersten ist immer noch ein Stück Papier und ein Stift. An die Daten kommt keiner!

  • Ich glaub der Simon hat es geschafft, wirklich noch nie ein Blatt Papier offen liegen zu lassen 😉
    Bekanntlich gab es auch noch nie Einbrüche in Häusern, bei denen sogar buntes Papier mit Werten wie 100, 50 usw. entwendet wurde.
    Papier ist also das sicherste!

    Sicher ist, was du draus machst!

Kommentieren