Tại Pwn2Own 2014, một sự kiện dành riêng cho giới bảo mật diễn ra ở Vancouver, Canada mới đây, các chuyên gia về bảo mật, hacker đã được dịp "thoải mái" hack các trình duyệt web phổ biến nhất hiện nay: Firefox, Chrome, Safari, và Internet Explorer. Mặc dù nhìn chung, tất cả 4 trình duyệt web này đều gặp những lỗ hổng và đều bị hacker khai thác được, nhưng nhiều người vẫn thắc mắc đâu là trình duyệt có nhiều lỗ hổng bảo mật, kém an toàn nhất. Câu trả lời: Firefox.
4 lỗ hổng zero-day
Trong Pwn2Own 2014, giới hacker đã nhận được tổng số tiền thưởng 850.000 USD cho việc khai thác các lỗ hổng trên 4 trình duyệt chúng ta vừa nói tới. Nhưng có lẽ họ sẽ phải dành lời cảm ơn nhiều nhất dành cho Mozilla, tổ chức phát triển Firefox. Trình duyệt này bị các nhà nghiên cứu khai thác 4 lỗ hổng zero-day, và trong thực tế, nếu kẻ xấu có thể tận dụng các lỗ hổng này, thì đồng nghĩa với việc chúng có thể làm bất kì việc gì mà chúng muốn trên máy tính nạn nhân.
Firefox cũng chưa bao giờ đạt được thành tích cao trong các lần tổ chức Pwn2Own trước đây. Mặc dù format của cuộc thi thường thay đổi theo từng năm kể từ khi cuộc thi được bắt đầu vào 2007, nhưng Firefox không ít thì nhiều cũng "dính chàm" từ năm 2009. Trong khi giới hacker chịu bó tay trước Chrome vào các năm 2009, 2010, 2011, thì năm duy nhất Firefox không bị khai thác lỗ hổng là vào 2011. Tuy nhiên, từ 2012, khi mà giới hacker ngày càng "giỏi" hơn, thì các trình duyệt đều bị phát hiện ít nhất 1 lổ hổng zero-day. Tuy nhiên, với việc bị tố tới 4 lỗ hổng này trong Pwn2Own 2014, thì Firefox rõ ràng là đã để lại những ấn tượng không tốt.
Nguyên nhân
Nguyên nhân khiến Firefox có nhiều điểm yếu về bảo mật đó là việc trình duyệt này không sử dụng công nghệ sandbox. Sandbox giống như 1 "tấm khiên", tường lửa ngăn cách trình duyệt với các thành phần khác của hệ thống máy tính. Bằng cách này, khi hacker tấn công được vào trình duyệt, chúng cũng không thể thâm nhập sâu vào hệ thống để ăn cắp các thông tin khác của người dùng.
Nhà nghiên cứu bảo mật Mariusz Mlynski đang demo 1 lỗ hổng trên Firefox tại Pwn2Own 2014.
Chrome, Safari, và Internet Explorer (các phiên bản mới) đều áp dụng sandbox, trong khi đó Firefox thì không. Điều này đồng nghĩa với việc khi hacker tìm và lợi dụng được vào 1 lỗ hổng bảo mật trên Firefox, chúng có thể truy cập hoàn toàn vào máy tính của nạn nhân từ đó thực hiện các phá hoại khác. Ấy thế mà các nhà nghiên cứu đã tim ra được 4 lổ hổng như thế trên "Cáo lửa". Chưa biết vì sao Mozilla không áp dụng cho Sandbox cho trình duyệt của mình, nhưng có một khả năng đó là do Firefox ra đời trong 1 thời điểm mà bảo mật trình duyệt đang bị xem nhẹ. Khi Google phát triển Chrome ít năm sau Firefox, Google đã hướng tới 1 trình duyệt web an toàn và tốc độ cao, và sandbox đã được áp dụng. Microsoft cũng theo bước Google từ IE8 và IE9. Mới Mozilla, cho dù muốn đưa Sandbox vào Firefox thì có lẽ họ cũng sẽ gặp không ít khó khăn, bởi ban đầu Firefox không được thiết kế cho 1 công nghệ như vậy.
