Een hacker die een poging deed om het Chrome OS van Google te hacken heeft al zijn werk niet voor niets gedaan, aangezien hij 40.000 dollar van de zoekgigant heeft gekregen. Twee weken geleden vond in Toronto Pwnium 3 plaats, een door Google gesponsorde wedstrijd waarbij hackers en onderzoekers geldprijzen konden winnen met hacken van Chrome OS, Google's besturingssysteem.

In totaal was er meer dan 3 miljoen dollar aan prijzengeld gereserveerd. Een succesvolle kraak van Chrome OS op systeemniveau via het gastaccount leverde 110.000 dollar op. Een hack waarbij het systeem blijvend werd gecompromitteerd was goed voor 150.000 dollar.

Linux
Onderzoeker Pinkie Pie, die in het verleden vaker de Chrome-browser succesvol kraakte, probeerde het wel maar slaagde er niet in een succesvolle aanval uit te voeren. Toch komt zijn 'gedeeltelijke' exploit wel voor een gedeeltelijke beloning in aanmerking. Pinkie Pie wist een keten van verschillende bugs, waaronder in de Linux-kernel, bij het parsen van video's en een fout in een configuratiebestand te combineren.

De exploit was echter niet betrouwbaar. Toch vond Google de poging goed genoeg en betaalde de onderzoeker 40.000 dollar. De meeste van de bugs zouden inmiddels zijn opgelost. Naast de wedstrijden beloont Google onderzoekers ook via het Chromium beloningsprogramma. Sinds de start van dit initiatief is er meer dan 900.000 dollar uitgekeerd.

Windows
Ook is er meer duidelijk geworden over het lek in de Chrome-browser dat tijdens de Pwn2Own hackerwedstrijd werd ontdekt. Via dit lek in de browser wisten twee onderzoekers Windows volledig over te nemen. Google patchte het lek binnen 24 uur, maar de kwetsbaarheid werd als 'high' beoordeeld.

Dat is normaal niet voldoende voor een aanvaller om uit de sandboxbeveiliging van de browser te ontsnappen. Nu blijkt dat de twee onderzoekers een tweede beveiligingslek gebruikten. Deze kwetsbaarheid bevindt zich in Windows-kernel en is aan Microsoft gerapporteerd, stelt Chris Evans van het Chrome Security Team.