Decorreu recentemente o concurso de hacking Pwn2Own, que reuniu alguns dos maiores especialistas e hackers na área de segurança. O objectivo: comprometer o nível de segurança dos quatro principais browsers, IE, Firefox, Chrome e Safari. Sem nenhuma surpresa e como já tínhamos referido aqui, o Safari foi o primeiro a cair. Contudo no primeiro dia, apenas um browser se manteve invicto.
O Chrome surge como vencedor no primeiro dia do concurso de hacking Pwn2Own, da edição de 2010, como sendo o único que não foi explorável ao nível de qualquer vulnerabilidade encontrada. O Safari, foi o primeiro a cair, seguido do Internet Explorer 8, o Firefox aparece em terceiro lugar comprometido numa máquina Windows 7 64 bits. A versão do Safari para iPhone, termina a lista de browsers comprometidos, em minutos apenas.
A principal novidade neste concurso, este ano foi a tentativa de comprometer a segurança do iPhone, através do sua versão do Safari. E quanto a este, a vulnerabilidade explorada é de tal forma crítica, que permitiu ao hacker conseguir ter acesso a todas as SMS disponíveis no smartphone da Apple, inclusive aquelas que tinham sido apagadas. Ralf Philipp Weinmann um dos autores da proeza referiu, que podia ter tirado maior partido da vulnerabilidade e ter acesso ao restante conteúdo do iPhone, tais como contactos telefónicos, lista de emails, fotografias ou músicas no iTunes.
Mas voltando ao Chrome, o seu estatuto de vencedor no primeiro dia, não se deve às falhas, estas estão lá e existem. Segundo Charlie Miler o primeiro Hacker a comprometer o Safari, encontrou inclusive uma vulnerabilidade, mas não conseguiu explorá-la devido ao mecanismo de sandbox do browser da Google, que isola componentes críticos do browser, bem como a protecção nativa de aplicações que o browser tira partido do Windows.
Analisamos com alguma surpresa este ano, os Hackers não terem trazido para o concurso o Opera como um dos “alvos”. Talvez devido ao que um dos participantes do Pwn2Own referiu, que usava este browser, por ainda ter uma quota de mercado ínfima e segundo tem conhecimento, devido a este aspecto ninguém neste momento está interessado em tirar partido das suas vulnerabilidades.
Apesar disso seria interessante de ver como o Opera se portava, devido a não existir actualmente estudos de relevo, relativa à segurança deste browser. Contudo não deixam de ser dados importantes e elucidativos, do estado actual da segurança nos browsers.