Google ha presentado una nueva característica de seguridad para su navegador Chrome, llamada App-Bound Encryption, que tiene como objetivo evitar que el software malicioso que roba información intente acceder a las cookies en los sistemas operativos Windows.
Según Will Harris del equipo de seguridad de Chrome, Chrome utiliza la API de protección de datos (DPAPI) para proteger los datos en reposo de otros usuarios o ataques de arranque en frío en sistemas Windows. Sin embargo, DPAPI no brinda protección contra aplicaciones maliciosas que ejecutan código como el usuario que inició sesión, lo que lo deja vulnerable a ataques de robo de información.
El cifrado vinculado a aplicaciones es una medida de seguridad que mejora la API de protección de datos (DPAPI) al incorporar la identidad de una aplicación, como Chrome, dentro de los datos cifrados. Esta inclusión garantiza que otras aplicaciones del sistema no puedan acceder a los datos cuando intenten descifrarlos. Harris señaló que debido a que el servicio vinculado a la aplicación opera con privilegios del sistema, los atacantes potenciales necesitarían elevar sus privilegios o inyectar código en Chrome para evitar esta característica de seguridad; Este es un escenario muy improbable para un software legítimo.
La estrecha vinculación de la clave de cifrado a la máquina impide que este método sea compatible con entornos donde los perfiles de Chrome se mueven entre varias máquinas. Se recomienda a las organizaciones que emplean perfiles móviles implementar las mejores prácticas y configurar ApplicationBoundEncryptionEnabled.
Esta reciente mejora de seguridad, implementada en Chrome 127, actualmente se centra únicamente en proteger las cookies. Sin embargo, Google tiene la intención de ampliar esta protección para incluir contraseñas, información de pago y tokens de autenticación adicionales en el futuro.
En abril, Google describió un método que utiliza un tipo de registro de eventos de Windows, DPAPIDefInformationEvent, para identificar instancias de otros aplicaciones en el sistema que acceden a las cookies y credenciales del navegador.
Para los sistemas macOS y Linux, Chrome garantiza la seguridad de las contraseñas y las cookies aprovechando los servicios de llavero y las billeteras proporcionadas por el sistema, como kwallet o gnome-libsecret.
Este desarrollo se produce después de numerosas mejoras de seguridad introducidas en Chrome, como navegación segura mejorada, credenciales de sesión vinculadas al dispositivo (DBSC) y comprobaciones automáticas de descargas potencialmente maliciosas. Harris enfatizó que el cifrado vinculado a aplicaciones aumenta la complejidad y la detectabilidad de los esfuerzos de robo de datos, ayudando a los equipos de seguridad a definir límites explícitos para acciones aceptables por parte de otras aplicaciones dentro del sistema.
Además, cabe señalar que Google tomó recientemente la decisión de no desaprobar las cookies de terceros en Chrome. Esta medida ha enfrentado críticas por parte del World Wide Web Consortium (W3C). El W3C expresó su preocupación por el uso continuo de cookies de terceros, ya que permiten el seguimiento, lo que puede tener implicaciones negativas para la sociedad, particularmente en términos de apoyo a mensajes políticos microdirigidos. Además, el W3C advirtió que esta decisión podría impedir el progreso en el desarrollo de alternativas viables a las cookies de terceros para varios navegadores web.