Google vai oferecer US $ 1 milhão em recompensas para o Chrome Hacking em Concurso
Nos últimos três anos, o navegador Google Chrome deixou a concorrência estréia mundial de hackers incólume, como Firefox, Internet Explorer e Safari foram todos retirados pelos pesquisadores de segurança montados.Portanto, este ano, o Google está oferecendo um milhão de hackers razões para voltar a concentrar os seus esforços.
Google anunciou ontem à noite que está oferecendo até um milhão de dólares em recompensas no concurso Pwn2Own anual de hacking, que acontece na próxima semana na conferência de segurança CanSecWest, em Vancouver.Hackers não precisa necessariamente visar Chrome para ganhar um pedaço do que dinheiro: o Google está pagando US $ 20.000 a qualquer participante que podem explorar erros jogáveis no Windows, Flash, ou um driver de dispositivo de segurança, problemas que afetam os usuários de todos os navegadores. Mas para hacks que incluem falhas específicas para o Chrome, o Google irá pagar 40.000 dólares cada, e para aqueles que exploram apenasbugs no Chrome, a empresa vai desembolsar US $ 60.000, até ao limite de milhões de dólares.
De fato, as recompensas do Google pode acabar superando os oferecidos pelos organizadores oficiais do concurso, a Hewlett-Packard de propriedade Zero Day Initiative. HP planeja oferecer US $ 60.000 para o vencedor do primeiro lugar, $ 35.000 para o segundo, e US $ 15.000 para o competidor terceiro lugar,usando um sistema de pontos para determinar os posicionamentos.
E por que é o Google disposto a pagar sete figuras para ver o seu navegador desmontado em público? Porque, explica a empresa em um post de blog, o concurso anual de hacking oferece a oportunidade de testar coragem do Chrome contra alguns dos hackers mais inovadoras do mundo em um ambiente onde as novas falhas podem ser identificadas e corrigidas. Em troca de suas recompensas, o Google exige qualquer pesquisador vencedora apresentar os detalhes das falhas exploradas para sua equipe de segurança, uma condição que ZDI não incidir sobre os hackers vencedoras. "Não só podemos corrigir os erros, mas estudando a vulnerabilidade e explorar técnicas que podem melhorar nossas mitigações, testes automatizados, e área de segurança," Chrome segurança engenheiros Chris Evans e Justin Schuh escrever. "Isso nos permite melhor proteger os nossos usuários."
Pwn2Own não é a única vez que os pesquisadores podem ser pagos para cavar até falhas de segurança no Chrome. Como outras empresas, incluindo Mozilla e Facebook, o Google oferece recompensas "bug" para investigadores, e seu programa de compra de falha deu mais de US $ 300.000 em pagamentos ao longo dos últimos dois anos.
Desde que o Chrome apareceu pela primeira vez como um alvo no concurso Pwn2Own, em 2009, os hackers participantes nem sequer tentaram explorar o navegador, concentrando-se no conjunto de outros softwares e dispositivos definidos como vítimas do concurso. Porque falhas de segurança são normalmente desenvolvidos bem à frente do concurso, que é um sinal de que nenhum dos pesquisadores conseguiu encontrar uma brecha na segurança de seus Chrome recursos de segurança incluem o modo seguro, o que limita o acesso de um exploit para o resto do PC do usuário e " just-in-time endurecimento "que impede javascript em sites de execução de comandos na máquina do usuário.
Mesmo quando o Google ofereceu um extra de R $20.000 a qualquer um que poderia cortar seus navegadores no ano passado, ninguém aceitou o desafio.Esse resultado fornece forragem de marketing grande, mas o Google diz que é mais ansiosos para expor bugs em seus códigos, portanto, este ano os pagamentos em massa. "Enquanto nós estamos orgulhosos de registro do Chrome pista principal em competições passadas, o fato é que não receber façanhas significa que é mais difícil de aprender e melhorar", Evans e escrita Schuh. "Para maximizar nossas chances de receber façanhas este ano, nós aumentou a aposta."