Google har afsløret en ny sikkerhedsfunktion til sin Chrome-browser, kaldet App-Bound Encryption, som har til formål at forhindre informationsstjælende ondsindet software i at forsøge at få adgang til cookies på Windows-operativsystemer.
Ifølge Will Harris fra Chrome Security Team bruger Chrome Data Protection API (DPAPI) for at beskytte data i hvile mod andre brugere eller koldstartangreb på Windows-systemer. DPAPI yder dog ikke beskyttelse mod ondsindede applikationer, der udfører kode som den loggede bruger, hvilket efterlader den sårbar over for angreb, der stjæler oplysninger.
App-bundet kryptering er en sikkerhedsforanstaltning, der forbedrer Data Protection API (DPAPI) ved at integrere identiteten af en applikation, såsom Chrome, i de krypterede data. Denne medtagelse sikrer, at andre applikationer på systemet ikke er i stand til at få adgang til dataene, når de forsøger at dekryptere dem. Harris bemærkede, at på grund af den app-bundne tjeneste, der opererer med systemprivilegier, ville potentielle angribere være nødt til at hæve deres privilegier eller injicere kode i Chrome for at omgå denne sikkerhedsfunktion; dette er et meget usandsynligt scenarie for en legitim software.
Krypteringsnøglens tætte binding til maskinen forhindrer denne metode i at være kompatibel med miljøer, hvor Chrome-profiler bevæger sig mellem flere maskiner. Organisationer, der anvender roamingprofiler, anbefales at implementere bedste praksis og konfigurere ApplicationBoundEncryptionEnabled politik.
Denne seneste sikkerhedsforbedring, implementeret i Chrome 127, fokuserer i øjeblikket udelukkende på at beskytte cookies. Ikke desto mindre har Google til hensigt at udvide denne beskyttelse til at omfatte adgangskoder, betalingsoplysninger og yderligere godkendelsestokens i fremtiden.
I april skitserede Google en metode, der anvender en Windows-hændelseslogtype, DPAPIDefInformationEvent, til at identificere forekomster af andre applikationer på systemet, der får adgang til browsercookies og legitimationsoplysninger.
For macOS- og Linux-systemer sikrer Chrome sikkerheden af adgangskoder og cookies ved at udnytte nøglering-tjenester og systemleverede tegnebøger som kwallet eller gnome-libsecret.
Denne udvikling kommer efter adskillige sikkerhedsforbedringer introduceret i Chrome, såsom forbedret Safe Browsing, Device Bound Session Credentials (DBSC) og automatiseret kontrol for potentielt ondsindede downloads. Harris understregede, at app-bundet kryptering øger kompleksiteten og sporbarheden af datatyveri, og hjælper sikkerhedsteams med at definere eksplicitte grænser for acceptable handlinger fra andre apps i systemet.
Desuden skal det bemærkes, at Google for nylig har truffet en beslutning om ikke at forælde tredjepartscookies i Chrome. Dette skridt har været udsat for kritik fra World Wide Web Consortium (W3C). W3C udtrykte bekymring over den fortsatte brug af tredjepartscookies, da de muliggør sporing, hvilket kan have negative konsekvenser for samfundet, især med hensyn til at understøtte mikromålrettede politiske budskaber. Desuden advarede W3C om, at denne beslutning potentielt kunne hæmme fremskridtene i udviklingen af levedygtige alternativer til tredjepartscookies til forskellige webbrowsere.