Google ha presentat una nova funció de seguretat per al seu navegador Chrome, anomenada App-Bound Encryption, que té com a objectiu evitar que el programari maliciós que roba informació intenti accedir a les galetes als sistemes operatius Windows.
Segons Will Harris de l'equip de seguretat de Chrome, Chrome utilitza l'API de protecció de dades (DPAPI) per protegir les dades en repòs d'altres usuaris o atacs d'arrencada en fred als sistemes Windows. Tanmateix, DPAPI no ofereix protecció contra aplicacions malicioses que executen codi com a usuari connectat, el que el deixa vulnerable als atacs de robatori d'informació.
El xifratge vinculat a l'aplicació és una mesura de seguretat que millora l'API de protecció de dades (DPAPI) mitjançant la inserció de la identitat d'una aplicació, com ara Chrome, a les dades xifrades. Aquesta inclusió garanteix que altres aplicacions del sistema no puguin accedir a les dades quan intenten desxifrar-les. Harris va assenyalar que a causa del servei vinculat a l'aplicació que funciona amb privilegis del sistema, els possibles atacants haurien d'elevar els seus privilegis o injectar codi a Chrome per evitar aquesta funció de seguretat; aquest és un escenari molt poc probable per a un programari legítim.
L'estreta vinculació de la clau de xifratge a la màquina impedeix que aquest mètode sigui compatible amb entorns en què els perfils de Chrome es mouen entre diverses màquines. Es recomana a les organitzacions que utilitzen perfils d'itinerància implementar les pràctiques recomanades i configurar ApplicationBoundEncryptionEnabled. política ApplicationBoundEncryptionEnabled).
Aquesta recent millora de seguretat, implementada a Chrome 127, actualment es centra únicament en la protecció de les galetes. No obstant això, Google té la intenció d'estendre aquesta protecció per incloure contrasenyes, informació de pagament i testimonis d'autenticació addicionals en el futur.
A l'abril, Google va descriure un mètode que utilitzava un tipus de registre d'esdeveniments de Windows, DPAPIDefInformationEvent, per identificar instàncies d'altres aplicacions del sistema que accedeixen a galetes i credencials del navegador.
Per als sistemes macOS i Linux, Chrome garanteix la seguretat de les contrasenyes i les galetes aprofitant els serveis Keychain i les carteres proporcionades pel sistema com kwallet o gnome-libsecret.
Aquest desenvolupament es produeix després de nombroses millores de seguretat introduïdes a Chrome, com ara la navegació segura millorada, les credencials de sessió vinculades al dispositiu (DBSC) i les comprovacions automatitzades de baixades potencialment malicioses. Harris va destacar que el xifratge vinculat a l'aplicació augmenta la complexitat i la detectabilitat dels esforços de robatori de dades, ajudant els equips de seguretat a definir límits explícits per a accions acceptables per part d'altres aplicacions del sistema.
A més, cal tenir en compte que Google recentment va prendre la decisió de no desactivar les galetes de tercers a Chrome. Aquest moviment s'ha enfrontat a les crítiques del World Wide Web Consortium (W3C). El W3C va expressar la seva preocupació per l'ús continuat de galetes de tercers, ja que permeten el seguiment, la qual cosa pot tenir implicacions negatives per a la societat, especialment pel que fa al suport de missatges polítics micro-orientats. A més, el W3C va advertir que aquesta decisió podria impedir el progrés en el desenvolupament d'alternatives viables a les galetes de tercers per a diversos navegadors web.