Một nhà nghiên cứu bảo mật tên Micky gần đây đã phát hiện ra một lỗ hổng nghiêm trọng trong Google Chrome cho phép kẻ tấn công thoát khỏi bảo vệ sandbox của trình duyệt, kiếm được phần thưởng đáng kể 250.000 đô la Mỹ từ chương trình bug bounty của Google. Phát hiện này đã châm ngòi cho một cuộc thảo luận thú vị trong cộng đồng về kinh tế phần thưởng an ninh mạng và cách các công ty khác nhau định giá nghiên cứu bảo mật.
Lỗ hổng này, được theo dõi trong hệ thống vấn đề của Chrome, liên quan đến một lỗi trong hệ thống ipcz (Inter-Process Communication) xử lý giao tiếp giữa các phần khác nhau của trình duyệt. Bằng cách thao tác một số header tin nhắn nhất định, một trang web độc hại có thể lừa Chrome cấp quyền nâng cao, phá vỡ hiệu quả sandbox bảo mật thường chứa nội dung web.
Chi tiết kỹ thuật
- Loại lỗ hổng: Lỗi logic trong Giao tiếp Liên tiến trình (ipcz)
- Vector tấn công: Thao túng header độc hại trong giao tiếp từ renderer đến broker
- Tác động: Thoát khỏi sandbox hoàn toàn cho phép leo thang đặc quyền
- Thành phần bị ảnh hưởng: Hệ thống cô lập tiến trình của Chrome
Bản Chất Hai Giai Đoạn Của Các Cuộc Tấn Công Trình Duyệt
Lỗi cụ thể này đại diện cho cái mà các chuyên gia bảo mật gọi là thoát sandbox - giai đoạn thứ hai của một chuỗi tấn công phức tạp. Các trình duyệt hiện đại như Chrome sử dụng phương pháp bảo mật đa lớp trong đó nội dung web chạy trong các tiến trình cô lập với quyền hạn chế. Ngay cả khi kẻ tấn công quản lý để xâm phạm tiến trình renderer thông qua lỗi JavaScript engine, chúng vẫn bị mắc kẹt trong sandbox. Lỗ hổng mới phát hiện này cung cấp chìa khóa để phá vỡ sự ngăn chặn đó, khiến nó cực kỳ có giá trị cho cả nghiên cứu bảo mật hợp pháp và khai thác tội phạm tiềm tăng.
Độ phức tạp kỹ thuật của việc tìm ra những lỗ hổng như vậy không thể được đánh giá quá cao. Các nhà nghiên cứu phải hiểu chi tiết phức tạp về giao tiếp tiến trình, quản lý bộ nhớ và ranh giới bảo mật trên hàng triệu dòng mã.
Cuộc Tranh Luận Lớn Về Bug Bounty
Khoản thanh toán 250.000 đô la Mỹ đã khơi mào cuộc thảo luận sôi nổi về cách các công ty công nghệ khác nhau tiếp cận phần thưởng bảo mật. Các thành viên cộng đồng nhanh chóng chú ý đến sự tương phản rõ rệt giữa khoản thanh toán hào phóng của Google và phần thưởng tối đa 20.000 đô la Mỹ của Mozilla cho các lỗ hổng Firefox tương tự. Sự khác biệt gấp 12,5 lần này đã dẫn đến các cuộc tranh luận gay gắt về việc gì tạo nên mức bồi thường công bằng cho nghiên cứu bảo mật.
Một số người cho rằng phần thưởng nên phản ánh doanh thu của công ty và tác động kinh doanh tiềm tàng của các vi phạm bảo mật. Những người khác tranh luận rằng các khoản thanh toán nên dựa trên kỹ năng cần thiết và tỷ lệ thị trường cho những phát hiện như vậy, bất kể tình hình tài chính của công ty.
Theo Wikipedia, đó là 0,012% thu nhập ròng của họ. Trong khi tôi được nói trong các bình luận rằng đây không phải là cách nhìn nhận vấn đề, điều đó có nghĩa là, theo tỷ lệ phần trăm, đây là số tiền gấp 50 lần so với số tiền mà Google đang trả.
Cuộc thảo luận tiết lộ một căng thẳng cơ bản trong kinh tế an ninh mạng: liệu bug bounty có nên cạnh tranh với giá thị trường đen cho các exploit, hay chúng nên được đặt dựa trên các yếu tố khác như tài nguyên công ty và ngân sách phát triển?
So sánh Bug Bounty
- Thoát khỏi sandbox Google Chrome : 250.000 USD
- Tương đương Mozilla Firefox : tối đa 20.000 USD
- Thoát khỏi sandbox WebContent Apple : 50.000 USD
- Kết hợp thoát khỏi sandbox + khai thác kernel Apple : lên đến 250.000 USD
Kinh Tế Thị Trường Đen So Với White Hat
Một khía cạnh đặc biệt hấp dẫn của cuộc thảo luận cộng đồng tập trung vào các con đường thay thế có sẵn cho các nhà nghiên cứu bảo mật. Một số người suy đoán rằng các exploit trình duyệt phức tạp có thể kiếm được nhiều tiền hơn đáng kể trên thị trường bất hợp pháp, có thể đạt đến bảy con số cho những người mua phù hợp. Tuy nhiên, những thách thức thực tế của việc tham gia với thị trường tội phạm - bao gồm rủi ro pháp lý, vấn đề tin cậy, biến chứng rửa tiền và mối quan tâm về an toàn cá nhân - khiến các chương trình bug bounty hợp pháp trở nên hấp dẫn mặc dù có thể có mức thanh toán thấp hơn.
Con đường hợp pháp cũng cung cấp các lợi ích bổ sung ngoài bồi thường tiền tệ, bao gồm sự công nhận chuyên nghiệp, cơ hội thăng tiến nghề nghiệp và sự hài lòng khi làm cho internet an toàn hơn cho mọi người.
Phản Ứng Ngành Và Thời Gian
Thời gian phản hồi nhanh chóng của Google khoảng bốn tuần từ báo cáo đến thanh toán đã nhận được lời khen từ cộng đồng bảo mật, đặc biệt khi so sánh với các công ty khác có thể mất hàng tháng chỉ để thừa nhận báo cáo lỗ hổng. Hiệu quả này, kết hợp với phần thưởng đáng kể, giúp duy trì danh tiếng của Google như một nhà lãnh đạo trong thực hành tiết lộ lỗ hổng phối hợp.
Thời điểm của việc tiết lộ này, đến chỉ vài ngày trước hội nghị bảo mật DEF CON, cũng chứng minh bản chất chiến lược của nghiên cứu và thực hành tiết lộ lỗ hổng hiện đại.
Phát hiện và cuộc thảo luận tiếp theo làm nổi bật hệ sinh thái phức tạp xung quanh an ninh mạng hiện đại, nơi sự xuất sắc kỹ thuật, động lực kinh tế và các cân nhắc đạo đức giao nhau theo những cách thú vị. Khi các trình duyệt trở nên ngày càng tinh vi, trò chơi mèo vờn chuột giữa các nhà nghiên cứu bảo mật và kẻ tấn công tiềm tàng tiếp tục phát triển, với cổ phần tài chính đáng kể cho tất cả các bên liên quan.
Tham khảo: ipcz bug can allow renderer duplicate browser process handle to escape sandbox