Google vung tiền thưởng đậm cho hacker

Pwn2Own là cuộc thi giữa các hacker diễn ra thường niên tại thành phố Vancouver (Canada), nơi hacker tìm cách đột nhập vào các thiết bị và trình duyệt phổ biến nhất hiện nay.

 

Bên lề cuộc thi Pwn2Own, gã khổng lồ tìm kiếm đã tổ chức cuộc thi của riêng mình với tên gọi Pwniumvới giải thưởng cao nhất 60 ngàn USD cho hacker hack thành công và nhanh nhất trình duyệt web Chrome của mình.

 

 

Google xem đây như là một tuyên bố rằng Google vui vẻ trả tiền cho các hacker khai thác và khám phá ra các lỗi trên trình duyệt Chrome, nhưng sau đó hacker phải cũng cấp thông tin chi tiết về lỗi mà mình đã tìm ra để Google có thể khắc phục kịp thời.

 

Mục đích tài trợ của chúng tôi rất đơn giản: chúng tôi có thêm cơ hội để học tập khi phần mềm của chúng tôi bị khai thác và khám phá. Không chỉ chúng tôi có thể sửa chữa các lỗi, mà bằng cách nghiên cứu các lỗ hổng và kỹ thuật khai thác, chúng tôi sẽ có thêm khả năng để tăng cường mức độ bảo mật cho sản phẩm của mình, điều này cho phép Google bảo vệ tốt hơn cho người dùng - Nhóm bảo mật của trình duyệt Google Chrome viết trên blog chính thức của hãng.

 

Trong khuôn khổ cuộc thi Pwn2Own năm ngoái, bên cạnh các trình duyệt Internet Explorer, Firefox và Safari đã bị các hacker hạ gục một cách nhanh chóng, Chrome là trình duyệt “bất khả xâm phạm nên Google rất tự tin vào khả năng bảo mật trình duyệt web Chrome của mình.

 

Tuy nhiên, điều này đã không lặp lại tại cuộc thi năm nay, sau khi Sergey Glazunov, một sinh viên đại học của Nga đã hạ gục thành công trình duyệt Chrome sau khi khai thác lỗi zero- trên trình duyệt này. Glazunov đã lập tức được Google trao tặng 60 ngàn USD, phần thưởng cao nhất mà mình đã công bố.

 

Glazunov là từng là thành viên của công đồng bảo mật của Chromium, mã nguồn được  Google sử dụng để xây dựng trình duyệt Chrome, từng làm nhiệm vụ thu thập và phát hiện các lỗi gặp phải trên bộ mã nguồn này. Mặc dù chi tiết lỗi không được Glazunov công khai ra cộng đồng, tuy nhiên thông tin về lỗi đã được Glazunov cung cấp đầy đủ cho Google.

 

Glazunov không phải là người duy nhất thực hiện được điều này khi chỉ vài phút sau khi Glazunov hack thành công, Vupen, một công ty bảo mật của Pháp cũng đã khai thác thành công lỗi bảo mật hộp cát (sandbox) của Chrome để xâm nhập vào trình duyệt. Mặc dù Vupen không nhận được giải thưởng nào từ Google, tuy nhiên công ty này cũng đã thông báo chi tiết lỗi trên trình duyệt để giúp Google khắc phục lại lỗ hổng bảo mật này.

 

Chaoki Bekrar, trưởng nhóm nghiên cứu bảo mật của Vupen cho biết nhóm của mình đã mất 6 tuần để khám phá và khai thác lỗi trên Chrome, trước khi thành công thực sự tại cuộc thi năm nay. Bekrar thừa nhận rằng bất kỳ phần mềm nào, dù có bảo mật mạnh mẽ đến đâu cũng có thể bị phá vỡ nếu hacker có đủ động lực và trình độ. 

 

 

Bekrar cho biết lý do mà Vupen nhắm đến trình duyệt Chrome để khai thác lỗ hổng bảo mật là vì đây là trình duyệt duy nhất đứng vững trong cuộc thi hack Pwn2Own năm ngoái. Năm ngoái, Vupen cũng đã công bố đoạn video hack thành công vào trình duyệt Chrome, tuy nhiên Google đã phủ nhận điều này và cho rằng Vupen chỉ khai thác lỗi từ plugin Flash chứ không phải từ bản thân Chrome.

 

Google cho biết những lỗi do các hacker khám phá ra trong cuộc thi năm nay sẽ được khắc phục ngay sau 24 giờ trong bản cập nhật mới nhất.

 

Google không phải là công ty duy nhất thường xuyên trao các giải thưởng cho hacker trong việc khai thác và khám phá lỗ hổng bảo mật trên sản phẩm của mình. Trước đây, Facebook, Microsoft hay Mozilla… cũng thường xuyên trao thưởng cho các hacker thực hiện được điều này. Thậm chí, nhiều công ty công nghệ còn mời các hacker này về đầu quân cho mình.