Chrome OS gehackt und gepatcht
Zwei Hacker-Wettbewerbe brachten letzte Woche drei Sicherheitslücken in Chrome OS zutage, eine davon betraf auch den Browser Chrome. Alle drei Lücken wurden mittlerweile von Google geschlossen. Den Hackern winkten bei Google Preisgelder von 2,7 Millionen US-Dollar, HP zahlte 850.000 US-Dollar Prämien aus.
Letzte Woche fanden in Vancouver während der CanSecWest-Sicherheitskonferenz Googles Pwnium 4 und der von HP initiierte Pwn2Own 2014 statt. Ging es bei HPs Veranstaltung um das Hacken von Browsern, war Googles Hackwettbewerb in diesem Jahr auf Chrome OS fokussiert.
Für die Hacks an Googles Chrome OS konnten die Teilnehmer zwischen jeweils einem Basis-Modell des ARM-basierten HP Chromebook 11 oder einem Acer C720 Chromebook mit Intel-Haswell-CPU wählen. Beide Chromebooks waren mit WLAN ausgestattet. Die erste Schwachstelle wurde von dem durch seine iPhone- und PlayStation-Hacks bekannt gewordenen George Hotz (Geohot) aufgedeckt und mit 150.000 US-Dollar prämiert. Er erreichte sein Ziel über eine Kette von Exploits, die in der richtigen Reihenfolge ausgeführt werden mussten. Dabei spielten Sicherheitslücken in Chromes V8-JavaScript-Engine, in Crosh, der Chrome-OS-Shell, eine Directory-Traversal-Lücke in CrosDisks, dem Programm zum Ein- und Aushängen von Dateisystemen sowie einer Lücke beim Booten des Systems eine Rolle.
Der zweite Hack gelang einem jungen Hacker mit dem Spitznamen Pinkie Pie, der seit 2012 auf solchen Wettbewerben vermehrt Preisgelder mit nach Hause nimmt. Hier wird die Prämie erst noch bestimmt. Er konnte zwei neue Sicherheitslücken ausnutzen, um einerseits Code in einer Sandbox auszuführen und andereseits Kernel OOB-Schreibvorgänge im GPU-Treiber durchzuführen.
Dharani Govindan, ein Google-Chrome-Entwickler, sagte zu den Exploits von Geohot und Pinkie Pie, Google sei „erfreut über den Erfolg von Pwnium und die Möglichkeit, vollständige Exploits zu studieren“ und sieht „Änderungen und Hardening-Maßnahmen für diese Verwundbarkeiten in naher Zukunft vor“. Zudem sieht Google beide Pwnium-Beiträge „als Kunst an, die weitere Verbreitung verdient“.
Der dritte Exploit bezog sich auf den Chrome-Browser und dessen Engine Blink und hatte somit ebenfalls Bezug zu Chrome OS. Der auf der Pwn2Own 2014 durchgeführte Hack wurde vom Cracking-Team des französischen Sicherheitslückenhändlers VUPEN durchgeführt. Die Lücke betraf freie Speicherbereiche in den Bindings der Blink-Engine, die ausgenutzt werden konnten.
Alle drei Lücken sind mittlerweile geschlossen worden. Somit lohnen sich die relativ hoch wirkenden Preisgelder für Google, wie Google-Entwickler Chris Evans, befasst mit Sicherheitsfragen, CNET wissen ließ. „Wenn sie hohe Sicherheit haben wollen, müssen sie dafür bezahlen. Der Preis ist hoch, weil der Wert dessen, was wir daraus lernen, ebenfalls hoch ist. Wir können ganze Klassen von Fehler auf einmal schließen und neue Maßnahmen zur Härtung der Produkte treffen.“