Google on julkistanut uuden suojausominaisuuden Chrome-selaimelleen, nimeltään App-Bound Encryption, jonka tavoitteena on estää tietoja varastavat haittaohjelmat yrittämästä päästä evästeisiin Windows-käyttöjärjestelmissä.
Chromen tietoturvatiimin Will Harris mukaan Chrome käyttää Data Protection API:ta (DPAPI) suojata lepotilassa olevia tietoja muilta käyttäjiltä tai kylmäkäynnistyshyökkäyksiltä Windows-järjestelmiin. DPAPI ei kuitenkaan tarjoa suojaa haitallisilta sovelluksilta, jotka suorittavat koodia sisäänkirjautuneena käyttäjänä, joten se on alttiina tietovarashyökkäyksille.
Sovelluksiin sidottu salaus on turvatoimenpide, joka parantaa Data Protection API:ta (DPAPI) upottamalla sovelluksen, kuten Chromen, identiteetin salattuihin tietoihin. Tämä sisällyttäminen varmistaa, että muut järjestelmän sovellukset eivät pääse käsiksi tietoihin yrittäessään purkaa sen salausta. Harris huomautti, että sovellukseen sidotun palvelun vuoksi, joka toimii järjestelmäoikeuksilla, mahdollisten hyökkääjien on korotettava oikeuksiaan tai lisättävä koodia Chromeen ohittaakseen tämän suojausominaisuuden. tämä on erittäin epätodennäköinen skenaario lailliselle ohjelmistolle.
Salausavaimen tiukka sitoutuminen koneeseen estää tätä menetelmää olemasta yhteensopiva ympäristöjen kanssa, joissa Chrome-profiilit liikkuvat useiden koneiden välillä. Roaming-profiileja käyttäviä organisaatioita suositellaan ottamaan käyttöön parhaat käytännöt ja määrittämään ApplicationBoundEncryptionEnabled käytäntö.
Tämä äskettäin tehty turvallisuusparannus, joka on toteutettu Chrome 127:ssä, keskittyy tällä hetkellä yksinomaan evästeiden suojaamiseen. Google aikoo kuitenkin laajentaa tämän suojan kattamaan salasanoja, maksutietoja ja muita todennustunnuksia tulevaisuudessa.
Google esitteli huhtikuussa menetelmän, joka käyttää Windowsin tapahtumalokityyppiä, DPAPIDefInformationEvent, tunnistaakseen muita tapauksia. järjestelmän sovellukset, jotka käyttävät selaimen evästeitä ja tunnistetietoja.
MacOS- ja Linux-järjestelmissä Chrome varmistaa salasanojen ja evästeiden turvallisuuden hyödyntämällä avainnipupalveluita ja järjestelmän tarjoamia lompakoita, kuten kwallet tai gnome-libsecret.
Tämä kehitys on saatu aikaan lukuisten Chromessa esiteltyjen tietoturvaparannusten, kuten parannetun Selaussuojan, Device Bound Session Credentials (DBSC) ja mahdollisten haitallisten latausten automaattisen tarkistuksen jälkeen. Harris korosti, että sovelluksiin sidottu salaus lisää tietovarkausyritysten monimutkaisuutta ja havaittavuutta, mikä auttaa tietoturvatiimejä määrittelemään selkeät rajat muiden järjestelmän sovellusten hyväksyttäville toimille.
Lisäksi on huomattava, että Google teki äskettäin päätöksen olla poistamatta kolmannen osapuolen evästeitä Chromessa. World Wide Web Consortium (W3C) on kritisoinut tätä toimenpidettä. W3C ilmaisi huolensa kolmansien osapuolien evästeiden jatkuvasta käytöstä, koska ne mahdollistavat seurannan, millä voi olla kielteisiä vaikutuksia yhteiskuntaan, erityisesti mikrokohdistettujen poliittisten viestien tukemisen kannalta. Lisäksi W3C varoitti, että tämä päätös voi mahdollisesti haitata edistymistä kehitettäessä elinkelpoisia vaihtoehtoja kolmannen osapuolen evästeille eri selaimissa.