Chrome для Windows на данный момент является единственным браузером, чью защиту не удавалось обойти хакерам в рамках конкурса Pwn2Own. В прошлом году, узнав, что организаторы соревнований не собираются взламывать браузер Chrome, Google попросил пересмотреть программу и предложил 20 тыс. долларов в дополнение к 15 тысячам, причитающимся победителю. В этом году дошло уже до миллиона.
Участники конкурса говорят, что сложностью в обходе безопасности Chrome является "песочница" - разработанная Google для браузера и ОС Chrome оболочка безопасности, в которую отправляются все новые приложения и плагины.
Однако за прошедшие несколько лет технология "песочницы" перестала быть такой уж необычной, и многие производители программного обеспечения добавили этот механизм в свои приложения, а исследователи уже нашли способ обойти эту защиту - но пока не для Chrome.
Представители Google, которые занимаются безопасностью Chrome, Крис Эванс и Джастин Шу пишут в официальном блоге Chromium: "Хотя мы и гордимся, что Chrome оставил след на прошлых соревнованиях, однако то, что эксплоиты для нашего продукта не были разработаны, затрудняет процесс нашего совершенствования. Для того чтобы повысить вероятность создания эксплоитов в этом году, мы повысили ставки. Мы непосредственно выделили 1 млн долларов на награды в этом году".
Первоначально Google даже собирался выступить в качестве спонсора Pwn2Own, но после того как организаторы изменили правила соревнования, разрешив участникам не разглашать все детали обнаруженных уязвимостей, компания отказалась от этого намерения.
Хакерские соревнования Pwn2Own придумала американская компания Tipping Point (в настоящее время - HP Tipping Point), они проводятся ежегодно в рамках конференции по компьютерной безопасности CanSecWest в канадском городе Ванкувере с 2007 года. Цель соревнований - взлом популярных приложений за счет неизвестных ранее уязвимостей.
Tipping Point также является инициатором программы Zero Day Initiative (ZDI), в рамках которой два раза в год выпускаются отчеты об уязвимостях в программных продуктах, не устраненных их разработчиками в течение как минимум 6 месяцев.