Η Google αποκάλυψε μια νέα δυνατότητα ασφαλείας για το πρόγραμμα περιήγησής της Chrome, που ονομάζεται App-Bound Encryption, η οποία στοχεύει στην πρόληψη κακόβουλου λογισμικού που κλέβει πληροφορίες από την προσπάθεια πρόσβασης σε cookies στα λειτουργικά συστήματα Windows.
Σύμφωνα με τον Will Harris από την ομάδα ασφαλείας του Chrome, το Chrome χρησιμοποιεί το API προστασίας δεδομένων (DPAPI) για προστασία δεδομένων σε κατάσταση ηρεμίας από άλλους χρήστες ή από επιθέσεις ψυχρής εκκίνησης σε συστήματα Windows. Ωστόσο, το DPAPI δεν παρέχει προστασία έναντι κακόβουλων εφαρμογών που εκτελούν κώδικα ως ο συνδεδεμένος χρήστης, αφήνοντάς το ευάλωτο σε επιθέσεις κλοπής πληροφοριών.
Η κρυπτογράφηση με δέσμευση εφαρμογής είναι ένα μέτρο ασφαλείας που βελτιώνει το API προστασίας δεδομένων (DPAPI) ενσωματώνοντας την ταυτότητα μιας εφαρμογής, όπως το Chrome, στα κρυπτογραφημένα δεδομένα. Αυτή η συμπερίληψη διασφαλίζει ότι άλλες εφαρμογές στο σύστημα δεν μπορούν να έχουν πρόσβαση στα δεδομένα όταν επιχειρούν να τα αποκρυπτογραφήσουν. Ο Χάρις σημείωσε ότι λόγω της υπηρεσίας συνδεδεμένης με την εφαρμογή που λειτουργεί με προνόμια συστήματος, οι πιθανοί εισβολείς θα πρέπει να αυξήσουν τα προνόμιά τους ή να εισάγουν κώδικα στο Chrome προκειμένου να παρακάμψουν αυτήν τη δυνατότητα ασφαλείας. αυτό είναι ένα εξαιρετικά απίθανο σενάριο για ένα νόμιμο λογισμικό.
Η στενή σύνδεση του κλειδιού κρυπτογράφησης στο μηχάνημα αποτρέπει τη συμβατότητα αυτής της μεθόδου με περιβάλλοντα όπου τα προφίλ Chrome μετακινούνται μεταξύ πολλών μηχανημάτων. Συνιστάται στους οργανισμούς που χρησιμοποιούν προφίλ περιαγωγής να εφαρμόσουν βέλτιστες πρακτικές και να ρυθμίσουν το ApplicationBoundEncryptionEnabled.
Αυτή η πρόσφατη βελτίωση ασφαλείας, που εφαρμόστηκε στο Chrome 127, επί του παρόντος εστιάζει αποκλειστικά στη διαφύλαξη των cookie. Ωστόσο, η Google σκοπεύει να επεκτείνει αυτήν την προστασία ώστε να περιλαμβάνει κωδικούς πρόσβασης, πληροφορίες πληρωμής και πρόσθετα διακριτικά ελέγχου ταυτότητας στο μέλλον.
Τον Απρίλιο, η Google περιέγραψε μια μέθοδο που χρησιμοποιεί έναν τύπο καταγραφής συμβάντων των Windows, DPAPIDefInformationEvent, για τον εντοπισμό περιπτώσεων άλλων εφαρμογές στο σύστημα που έχουν πρόσβαση σε cookie και διαπιστευτήρια προγράμματος περιήγησης.
Για συστήματα macOS και Linux, το Chrome διασφαλίζει την ασφάλεια των κωδικών πρόσβασης και των cookie αξιοποιώντας υπηρεσίες Keychain και πορτοφόλια που παρέχονται από το σύστημα, όπως το kwallet ή το gnome-libsecret.
Αυτή η εξέλιξη έρχεται μετά από πολυάριθμες βελτιώσεις ασφαλείας που εισήχθησαν στο Chrome, όπως η βελτιωμένη Ασφαλής περιήγηση, τα διαπιστευτήρια συνεδρίας δεσμευμένης συσκευής (DBSC) και οι αυτοματοποιημένοι έλεγχοι για πιθανές κακόβουλες λήψεις. Ο Χάρις τόνισε ότι η κρυπτογράφηση που δεσμεύεται από την εφαρμογή αυξάνει την πολυπλοκότητα και την ανιχνευσιμότητα των προσπαθειών κλοπής δεδομένων, βοηθώντας τις ομάδες ασφαλείας να ορίσουν ρητά όρια για αποδεκτές ενέργειες από άλλες εφαρμογές εντός του συστήματος.
Επιπλέον, θα πρέπει να σημειωθεί ότι η Google έλαβε πρόσφατα απόφαση να μην καταργήσει τα cookies τρίτων στο Chrome. Αυτή η κίνηση έχει αντιμετωπίσει κριτική από την Κοινοπραξία του Παγκόσμιου Ιστού (W3C). Το W3C εξέφρασε την ανησυχία του για τη συνεχιζόμενη χρήση cookies τρίτων, καθώς επιτρέπουν την παρακολούθηση, η οποία μπορεί να έχει αρνητικές επιπτώσεις για την κοινωνία, ιδίως όσον αφορά την υποστήριξη πολιτικών μηνυμάτων μικρο-στόχευσης. Επιπλέον, το W3C προειδοποίησε ότι αυτή η απόφαση θα μπορούσε ενδεχομένως να εμποδίσει την πρόοδο στην ανάπτυξη βιώσιμων εναλλακτικών λύσεων αντί των cookie τρίτων για διάφορα προγράμματα περιήγησης ιστού.