谷歌悬赏100万美元终致Chrome浏览器被攻破

 

新浪科技讯 北京时间3月8日下午消息，谷歌本周在温哥华CanSecWest信息安全大会上举办了名为Pwnium的黑客大赛，悬赏100万美元邀请黑客攻击Chrome浏览器。在重赏之下，一名俄罗斯大学生首次成功攻破了运行Chrome浏览器的PC。

这名大学生名为谢尔盖·格拉祖诺夫(Sergey Glazunov)。由于成功攻破Chrome浏览器，格拉祖诺夫获得了6万美元奖金。格拉祖诺夫在攻击中使用了此前一个未发现的漏洞，从而绕过了Chrome浏览器“沙箱”的限制。谷歌信息安全团队成员贾斯汀·沙赫(Justin Schuh)已经在Twitter上确认了这一消息。

在惠普旗下Zero Day Initiative举行的Pwn2Own黑客大赛上，来自信息安全公司VUPEN的一个团队也在5分钟内攻破了Chrome浏览器。该团队表示，已经发现了新的漏洞，并将在IE、Safari和火狐浏览器上证明。

这是谷歌Chrome浏览器首次在公开举行的黑客大赛上被攻破。过去3年中，Chrome浏览器也是Pwn2Own黑客大赛的攻击目标，但一直没有黑客能攻破该浏览器。因此，谷歌今年加大了悬赏。

去年，作为Pwn2Own的合作赞助商，谷歌提供了2万美元奖金，奖励能攻破Chrome浏览器的黑客。不过，去年无人赢得这笔奖金。今年，谷歌没有与惠普合作，而是独自举办了Pwnium黑客大赛。

由于Chrome浏览器此次被攻破，谷歌将失去一个营销噱头，即Chrome浏览器能抵御任何黑客攻击。不过谷歌信息安全团队表示，举办这一黑客大赛并不是为了证明Chrome浏览器的安全性，而是找到该浏览器的缺陷。谷歌要求所有赢得奖金的参赛者向该公司提供详细的攻击方式，以便谷歌开发针对性的补丁。(维金)

【赛迪网讯】2月29日消息，据国外媒体报道，谷歌目前准备拿出100万美金作为奖金，以奖赏能够充分利用Chrome功能的黑客。

据了解，谷歌准备的这一笔奖金不一定能够花的出去。在过去的六年时间里，参加CanSecWest会议的Pwn2Own参赛者们都曾经发现过IE浏览器和Safafi浏览器的漏洞，而Chrome浏览器目前为止还没有人能够发现其漏洞。

然而，今年谷歌自己独立为黑客设立奖金，决定退出Pwn2Own比赛。谷歌对于这一赛事其中的一点规定并不满意：参赛者不需要向销售商展露自己全部的技能就能参赛，同时参赛人员也无需利用浏览器中的所有漏洞来使浏览器崩溃。

谷歌Chrome安全组成员Chris Evans和Justin Schuh在其公司博客中写道，“我们此次设立这一奖金的目的很简单：如果我们能够收到关于Chrome浏览器全部的漏洞信息，这对于我们来说就是一次很好的学习机会。我们不仅能够找出办法来修复这些漏洞，同时也可以使我们了解到这一浏览器的脆弱性，采用一些开发技术以提高我们的安全性能，例如进行自动化测试及支持沙盒（sandboxing）等。这一举措可以使我们更好地为我们的用户们服务。”“我们为Chrome在过去竞赛中的突出表现感到非常自豪，但事实上我们没有收到攻击Chrome浏览器的途径同时也意味着我们学习和提高其安全性这件事并非易事。”

据悉，这笔100万美元的奖金将被分成若干份，而每份金额的大小取决于黑客们对Chrome浏览器进行攻破的程度。同时黑客若能完全找出攻破Chrome浏览器的漏洞，即通过利用浏览器本身的漏洞获取用户账户信息，就能获得60000美元。找出Chrome浏览器部分漏洞（至少发现一个）的黑客将获得40000万美元。同时利用非Chrome漏洞（例如Flash中的一个或多个漏洞、Windows或驱动中的漏洞）来攻破Chrome浏览器的黑客也可以获得20000美元。