Google presentou unha nova función de seguranza para o seu navegador Chrome, chamada App-Bound Encryption, que ten como obxectivo evitar que o software malicioso que rouba información intente acceder ás cookies nos sistemas operativos Windows.
Segundo Will Harris do equipo de seguranza de Chrome, Chrome usa a API de protección de datos (DPAPI) para protexer os datos en reposo doutros usuarios ou ataques de arranque en frío en sistemas Windows. Non obstante, DPAPI non ofrece protección contra aplicacións maliciosas que executan código como usuario rexistrado, polo que é vulnerable a ataques de roubo de información.
O cifrado vinculado a aplicacións é unha medida de seguranza que mellora a API de protección de datos (DPAPI) ao inserir a identidade dunha aplicación, como Chrome, nos datos cifrados. Esta inclusión garante que outras aplicacións do sistema non poidan acceder aos datos cando intentan descifralos. Harris sinalou que, debido ao servizo vinculado á aplicación que funciona con privilexios do sistema, os posibles atacantes necesitarían elevar os seus privilexios ou inxectar código en Chrome para evitar esta función de seguranza; este é un escenario moi improbable para un software lexítimo.
A estreita vinculación da clave de cifrado á máquina impide que este método sexa compatible con ambientes nos que os perfís de Chrome se moven entre varias máquinas. Recoméndase ás organizacións que empregan perfís de itinerancia implementar prácticas recomendadas e configurar ApplicationBoundEncryptionEnabled.
Esta recente mellora de seguranza, implementada en Chrome 127, céntrase actualmente unicamente na salvagarda das cookies. Non obstante, Google pretende estender esta protección para abarcar contrasinais, información de pago e tokens de autenticación adicionais no futuro.
En abril, Google describiu un método que utilizaba un tipo de rexistro de eventos de Windows, DPAPIDefInformationEvent, para identificar instancias doutros aplicacións no sistema que acceden ás cookies e credenciais do navegador.
Para os sistemas macOS e Linux, Chrome garante a seguridade dos contrasinais e das cookies aproveitando os servizos de chaveiro e as carteiras proporcionadas polo sistema como kwallet ou gnome-libsecret.
Este desenvolvemento prodúcese despois de numerosas melloras de seguranza introducidas en Chrome, como a navegación segura mellorada, as credenciais de sesión vinculadas ao dispositivo (DBSC) e as comprobacións automáticas de descargas potencialmente maliciosas. Harris fixo fincapé en que o cifrado vinculado a aplicacións aumenta a complexidade e a detectabilidade dos esforzos de roubo de datos, axudando aos equipos de seguridade a definir límites explícitos para as accións aceptables doutras aplicacións do sistema.
Ademais, hai que ter en conta que Google tomou recentemente a decisión de non abandonar as cookies de terceiros en Chrome. Este movemento enfrontouse ás críticas do World Wide Web Consortium (W3C). O W3C expresou a súa preocupación polo uso continuado de cookies de terceiros xa que permiten o seguimento, o que pode ter implicacións negativas para a sociedade, especialmente no que se refire ao apoio de mensaxes políticas micro-dirixidas. Ademais, o W3C advertiu de que esta decisión podería impedir o avance no desenvolvemento de alternativas viables ás cookies de terceiros para varios navegadores web.