Nem csupán a világ legnépszerűbb böngészője, de a Vancouverben zajlott CanSecWest konferencia Pwn2Own hackereseményen történtek alapján a legbiztonságosabb is. Igen, a Google Chrome-ról van szó, mely az eredmények ellenére azért sajnos nem teljesen immunis a támadásokkal szemben.

Az Edge járt a legrosszabbul

Már tizedik éve rendezik meg a Pwn2Own eseményt, melynek során a hackerek azzal versenyeznek, ki tud több sebezhetőséget kihasználni egy adott szoftvercsomagból (köztük böngészőkből). Tulajdonképpen egy, a Zero Day Initiative által szervezett hibavadász eseményről van szó.

A három napos küzdelem során a Microsoft Edge került a lista legaljára: a benne felfedezett öt biztonsági rés mintegy 300 ezer dollárt ér. A Safarit háromszor sikerült meghackelni, plusz még egyszer egy olyan sérülékenység révén, melyet a bétaváltozatban már javított az Apple. Kétszer támadták a Firefoxot, ami mindössze egyszer esett áldozatul. Homokozó (sandbox) rendszere bizonyult sebezhetőnek; ezt a szülő eljárásokból származó gyerek eljárások egymástól való elkülönítésére használja a Mozilla.

Ezzel szemben a Google Chrome mindössze egyetlen támadást szenvedett el, és az a rendelkezésre álló idő alatt nem tudott pozitív eredményt felmutatni.

Az Edge védelmében

Érdemes azért megjegyezni, hogy a szoftverek, illetve az általuk elérhető adatok feletti ellenőrzés megszerzéséért folytatott csata során a Microsoft szoftvere nyilvánvaló hátrányból indult. Mivel a csapatok azzal a feltételezéssel éltek, hogy a redmondi böngésző lesz a legkönnyebb áldozat, ezért a lehető legtöbb elérhető pont reményében elsősorban ezt a platformot célozták. Ez pedig nyilvánvalóan befolyásolta a végeredményt.

Szintén az Edge ellen dolgozott a böngésző relatíve fiatal kora. Míg riválisai hosszú évek óta vagy akár évtizedes távlatban léteznek, addig a nulláról újraépített Edge csupán a Windows 10-ben mutatkozott be. Ez azt jelenti, hogy a többiek hibáinak felfedezésére és javítására egy nagyságrenddel több idő állt rendelkezésre, mint az alig 18 hónapja kutatható redmondi böngésző esetében.

A verseny győztese egyébként a 360 Security lett, összesen 63 pontot gyűjtöttek. Erőfeszítéseik eredményeit felvásárolták a szponzorok, hogy ezt követően közvetlenül felvegyék az érintett szoftverek fejlesztőivel a kapcsolatot a fellelt hibák patch-elésének céljából.

Bevett gyakorlat

A megtalált hibákért fizetni bevett gyakorlat, és nem csak a feketepiacon hajlandók komolyabb összegekkel megtámogatni a hackereket. Az Uber, a Facebook, a Yahoo!, az Apple, a Google és a Microsoft (utóbbi kettő most emelt árat) után nemrég az Intel is beszállt a bizniszbe. Minél nehezebb kikerülni egy hibát és minél komolyabb hatással van a felhasználói biztonságra, annál többet fizetnek érte.

Egy szoftveres bugért maximum 7 ezer, a firmware-eket érintő sebezhetőségért 10 ezer, a vállalat hardvereiben felfedezett biztonsági résért pedig akár 30 ezer dollárt is utalhat a megtalálónak az eset részletes dokumentációjáért, ha azt először az Intelnek juttatta el. Megérheti ugyanakkor alacsony szintű kockázatot jelentő sérülékenységek után is kutatni, ezeket maximum ezer dollárral jutalmazza a vállalat.