Hackerwettbewerb: Google zahlt 20.000 Dollar für Chrome-Sandbox-Exploit

TippingPoint hat den Hackerwettbewerb Pwn2Own 2011 angekündigt, der vom 9. bis 11. März im kanadischen Vancouver stattfinden wird. Zu den Sponsoren zählt in diesem Jahr Google. Das Unternehmen stellt ein Preisgeld von 20.000 Dollar zu Verfügung, das derjenige erhält, der einen Exploit in Chrome findet und die Kontrolle über ein Cr-48-Chrome-Netbook übernehmen kann.

Nach Auskunft von TippingPoints Zero Day Initiative muss der Chrome-Exploit außerhalb der Sandbox des Browsers ausgeführt werden. Außerdem dürfen keine Kernel-Fehler oder Lücken in Browsererweiterungen ausgenutzt werden. Einzige Ausnahme ist das in Chrome integrierte PDF-Plug-in.

TippingPoint selbst hat Preisgelder in Höhe von 105.000 Dollar ausgelobt. Die an dem Wettbewerb teilnehmenden Hacker müssen dafür bisher unveröffentlichte Zero-Day-Lücken in den Browsern Microsoft Internet Explorer, Apple Safari, Mozilla Firefox oder Google Chrome finden, über die sich beliebiger Schadcode einschleusen und ausführen lässt. Die Browser laufen auf Notebooks mit der 64-Bit-Version von Windows 7 beziehungsweise Mac OS X 10.6.

Darüber hinaus gilt es, bisher unbekannte Schwachstellen in Mobilbetriebssystemen aufzudecken. Dafür stehen ein Dell Venue Pro mit Windows Phone 7, ein iPhone 4 mit iOS 4.2, ein Blackberry Torch 9800 mit Blackberry OS 6 und ein Nexus S mit Android 2.3 zur Verfügung. In diesem Jahr sind erstmals auch Angriffe auf das Baseband eines Handys erlaubt.

Bei einem erfolgreichen Angriff müssen auf einem Smartphone hinterlegte Nutzerdaten kompromittiert werden. Dafür soll möglichst wenig oder keine Interaktion mit einem Anwender nötig sein. Auch Angriffe, die dem Besitzer eines Geräts Kosten verursachen würden, sind zugelassen.

Im vergangenen Jahr hatten Hacker neue Lücken in Firefox und Internet Explorer 8 unter Windows 7 und in Safari unter Mac OS X 10.6 Snow Leopard gefunden. Einem Teilnehmer war es gelungen, die Kontrolle über ein iPhone 3GS zu übernehmen.