Google hat eine neue Sicherheitsfunktion für seinen Chrome-Browser namens App-Bound Encryption vorgestellt, die darauf abzielt, informationsstehlende Schadsoftware daran zu hindern, auf Cookies auf Windows-Betriebssystemen zuzugreifen.
Laut Will Harris vom Chrome-Sicherheitsteam verwendet Chrome die Datenschutz-API (DPAPI). um ruhende Daten vor anderen Benutzern oder Kaltstartangriffen auf Windows-Systemen zu schützen. Allerdings bietet DPAPI keinen Schutz vor bösartigen Anwendungen, die Code als angemeldeter Benutzer ausführen, wodurch es anfällig für Angriffe zum Diebstahl von Informationen ist.
App-gebundene Verschlüsselung ist eine Sicherheitsmaßnahme, die die Data Protection API (DPAPI) verbessert, indem die Identität einer Anwendung, wie z. B. Chrome, in die verschlüsselten Daten eingebettet wird. Durch diese Einbindung wird sichergestellt, dass andere Anwendungen im System beim Versuch, sie zu entschlüsseln, nicht auf die Daten zugreifen können. Harris wies darauf hin, dass potenzielle Angreifer aufgrund des App-gebundenen Dienstes, der mit Systemprivilegien arbeitet, ihre Privilegien erhöhen oder Code in Chrome einschleusen müssten, um diese Sicherheitsfunktion zu umgehen; Dies ist ein höchst unwahrscheinliches Szenario für eine legitime Software.
Die enge Bindung des Verschlüsselungsschlüssels an den Computer verhindert, dass diese Methode mit Umgebungen kompatibel ist, in denen Chrome-Profile zwischen mehreren Computern verschoben werden. Organisationen, die Roaming-Profile verwenden, wird empfohlen, Best Practices zu implementieren und die ApplicationBoundEncryptionEnabled einzurichten. ApplicationBoundEncryptionEnabled)-Richtlinie.
Diese kürzlich in Chrome 127 implementierte Sicherheitsverbesserung konzentriert sich derzeit ausschließlich auf den Schutz von Cookies. Dennoch beabsichtigt Google, diesen Schutz in Zukunft auf Passwörter, Zahlungsinformationen und zusätzliche Authentifizierungs-Tokens auszuweiten.
Im April stellte Google eine Methode vor, die einen Windows-Ereignisprotokolltyp, DPAPIDefInformationEvent, nutzt, um Instanzen anderer zu identifizieren Anwendungen auf dem System, die auf Browser-Cookies und Anmeldeinformationen zugreifen.
Für macOS- und Linux-Systeme gewährleistet Chrome die Sicherheit von Passwörtern und Cookies, indem es Schlüsselbunddienste und vom System bereitgestellte Wallets wie kwallet oder gnome-libsecret nutzt.
Diese Entwicklung erfolgt nach zahlreichen in Chrome eingeführten Sicherheitsverbesserungen, wie z. B. verbessertem Safe Browsing, Device Bound Session Credentials (DBSC) und automatischen Prüfungen auf potenziell bösartige Downloads. Harris betonte, dass die App-gebundene Verschlüsselung die Komplexität und Erkennbarkeit von Datendiebstahlbemühungen erhöht und Sicherheitsteams dabei unterstützt, explizite Grenzen für akzeptable Aktionen anderer Apps innerhalb des Systems festzulegen.
Darüber hinaus ist zu beachten, dass Google kürzlich beschlossen hat, Cookies von Drittanbietern in Chrome nicht abzulehnen. Dieser Schritt wurde vom World Wide Web Consortium (W3C) kritisiert. Das W3C äußerte Bedenken hinsichtlich der fortgesetzten Verwendung von Cookies von Drittanbietern, da diese die Nachverfolgung ermöglichen, was negative Auswirkungen auf die Gesellschaft haben kann, insbesondere im Hinblick auf die Unterstützung mikrozielgerichteter politischer Botschaften. Darüber hinaus warnte das W3C, dass diese Entscheidung möglicherweise den Fortschritt bei der Entwicklung praktikabler Alternativen zu Cookies von Drittanbietern für verschiedene Webbrowser behindern könnte.