Pwn2Own 2017: quali sono i browser più sicuri

Pwn2Own ed Ubuntu

Gli hacker hanno preso di mira anche Ubuntu aggiudicandosi un assegno da 15.000$

Su InternetPost parliamo periodicamente dei browser più utilizzati in Rete. Il post di oggi è dedicato proprio ai software che ci consentono di visitare i nostri siti preferiti, nello specifico al livello di protezione offerto da ciascuno di essi. E quale migliore banco di prova dei team invitati alla decima edizione di Pwn2Own?

Per chi non ne avesse mai sentito parlare, si tratta di un convention-contest di hacking, dedicata quindi all’aggiramento di sistemi di protezione di OS e programmi – tra i quali figurano anche i browser. Oltre ad essere divenuta un punto di riferimento per appassionati (il montepremi totale è pari a 1 milione di dollari e dei quali sono stati vinti circa 830.000$) e compagnie (i partecipanti devono avvalersi solo di vulnerabilità non note agli sviluppatori – in gergo zero day vulnerability, ne sono state individuate 51 quest’anno) è un utile fonte di informazioni anche per i semplici utenti finali.

Tenendo conto che all’evento partecipano professionisti di altissimo livello e che i PC di semplici utenti non sono mai bersaglio di esperti di tale calibro, vediamo come si sono comportati i nomi più noti del Web a partire da Firefox.

La soluzione open source di Mozilla Foundation gode ancora di buona popolarità. Sebbene le quote della “volpe” siano state erose da Chrome, è riuscito in ogni caso a preservare una parte dell’user base sottratta ad Internet Explorer – fu il primo ad avviare il declino del celebre brand Microsoft, passato nell’arco di alcuni anni da più della metà delle quote di mercato a valori a cifra singola.

Firefox offre un buon livello di sicurezza, sebbene sia leggermente indietro rispetto ai competitor (offre ad esempio un sandboxing parziale e non totale): nella precedente edizione PnwOwn (2016), il browser non era stato nemmeno preso in considerazione dai partecipanti, anche per via delle difficoltà insite nel suo hackeraggio. Quest’anno sono stati eseguiti per la cronaca due tentativi di attacco, di cui solo uno andato a buon fine – è stato sfruttato un integer overflow nel browser ed un unilitialized buffer nel kernel di Windows 10.

Chrome

Il browser di Mountain View è apparentemente una delle soluzioni più difficili da aggirare. In questa edizione di Pwn2Own gli “hacker”cinesi (per la precisione un gruppo di esperti della Tencent Security) hanno cercato di superarne le difese nell’unico attacco tentanto nel corso dell’intera convention, senza però riuscire nell’impresa – si ipotizza che la vulnerabilità sfruttata dal team fosse già stata patchata da Google.

Safari

Il browser di casa Apple ha subito cinque attacchi, “tre e mezzo” dei quali andati a buon fine. Il tentativo che ha ricevuto solo un parte (28.000$) del premio totale ha sfruttato alcuni bug logici ed un errore “NULL pointer dereference”, permettendo l’ottenimento dei privilegi di amministratore. Gli assegni più importanti (due da 35.000$) sono stati vinti nuovamente da un team di Tencent Security (Team Sniper) e dal Chaitin Security Research Lab – che per bypassare il sistema è riuscito a concatenere addirittura sei bug.

Edge

Edge è il successore diretto di Internet Explorer che, a partire dalla decima versione di Windows (rilascita il 29 luglio 2015), ha preso il posto dello storico browser introdotto nel 1995. Microsoft ha puntato molto sul progetto soprannominato inizialmente “Spartan”, presentandolo come una valida alternativa a Chrome e Firefox ed aprendo il software a soluzioni assolutamente inedite come i plugin. Nonostante un codice riscritto quasi da zero e nuove tecnologie implementate (anche di sicurezza come una modalità sandbox), Edge sembra essere il browser meno sicuro tra quelli esaminati.

Dopo un positivo esordio nell’edizione 2016 (solo due attacchi portati a termine), quest’anno ha infatti subito cinque attacchi, uno dei quali si è aggiudicato il premio più alto dalla manifestazione (105.000$). A stupire i presenti un altro team cinese di Tencent Security che, sfruttando una falla di Edge, è riuscito ad effettuare una “virtual machine escape” . In questo modo il team si è fatto strada dal sistema operativo guest della VM fino a quello dell’host.

In conclusione

L’edizione 2017 di Pwn2Own fotografa una situazione delicata per Edge e Windows 10 (il kernel è stato colpito diverse volte nel corso della convention), definito forse troppo ottimisticamente da Microsoft come l’OS più sicuro in circolazione. Dalle parti di Redmond avranno certamente numeroso materiale da analizzare e altrettanto lavoro da svolgere per ottimizzare e fixare il tutto. Un’individuazione e neutralizzazione più celere dei bug è sicuramente auspicabile.

Una raccomandazione simile può essere rivolta anche ad Apple che, come già detto, si classifica al secondo posto con quasi 4 attacchi subiti.

Firefox si distanzia dal gruppo di fondo avvicinandosi quasi al “vincitore” dell’edizione 2017, Chrome.

Bisogna tuttavia ricordare che ogni anno i team si “dedicano” a specifici obiettivi (ritenuti più facilmente abbordabili) tralasciandone altri. Se quest’anno è stato quindi Edge a finire sotto il “fuoco incrociato” degli abili partecipanti, nel 2018 potrebbe essere invece la volta di Firefox o Chrome.

Fonti: 1, 2