Het gebruik van een sandbox is een populaire manier om programma's extra bescherming tegen aanvallen te geven, maar niet alle sandboxes zijn hetzelfde. De sandbox zorgt ervoor dat een aanvaller die een lek in de applicatie vindt ook een lek in de sandbox moet ontdekken om vervolgens het systeem te kunnen overnemen. Daarbij zijn er verschillende soorten sandboxes.

Beveiligingsbedrijf Bromium besloot twee soorten sandboxes te analyseren, te weten de 'Type A' en 'Type B' sandboxes. De Type A sandbox bestaat uit een kernelmode-driver die bepaalde delen van de Windows-kernel patcht om toegang te beperken of toe te staan. Daarnaast zijn er bepaalde onderdelen die potentieel of ongeautoriseerde activiteit kunnen detecteren.

Bekende voorbeelden zijn Sandboxie, BufferZone Pro en Dell Protected Workspace. Naast deze generieke sandboxes zijn er ook nog de Type B sandboxes. Dit zijn sandboxes om aanvallen tegen een specifieke applicatie te voorkomen, zoals de sandbox in Google Chrome en Adobe Reader.

Analyse
Bromium analyseerde drie Type A en twee Type B sandboxes en concludeert dat de sandbox geen wondermiddel is. "Onze analyse toont dat het aanvalsoppervlak, hoewel verkleind, nog steeds groot is en te misbruiken valt. Gebruikers moeten nog steeds patches installeren en lopen altijd risico door zero-day-lekken."

Alle geanalyseerde sandboxes bleken nog steeds grotendeels op de veiligheid van het onderliggende besturingssysteem te vertrouwen. Wordt er naar de specifieke sandboxes gekeken, dan komen de Type B sandboxes (Google Chrome en Adobe Reader X) beter uit de test dan de Type A sandbox.

Voornamelijk omdat ze voor één applicatie zijn ontwikkeld en niet voor een generieke omgeving. "Type A sandboxes zijn in ontwerp kwetsbaar voor een relatief groot aanvalsoppervlak", aldus de onderzoekers.