A Google bemutatta Chrome böngészőjéhez az App-Bound Encryption nevű új biztonsági funkciót, amely megakadályozza, hogy az információlopó rosszindulatú szoftverek megpróbáljanak hozzáférni a cookie-khoz Windows operációs rendszeren.
A Chrome biztonsági csapatának Will Harris szerint a Chrome az adatvédelmi API-t (DPAPI) használja. nyugalmi állapotban lévő adatok védelme más felhasználókkal vagy a Windows rendszereket érő hidegindítási támadásokkal szemben. A DPAPI azonban nem nyújt védelmet a bejelentkezett felhasználóként kódot futtató rosszindulatú alkalmazások ellen, így sebezhetővé válik az információlopási támadásokkal szemben.
Az alkalmazáshoz kötött titkosítás egy olyan biztonsági intézkedés, amely javítja az adatvédelmi API-t (DPAPI) egy alkalmazás, például a Chrome identitásának beágyazásával a titkosított adatokba. Ez a beillesztés biztosítja, hogy a rendszer más alkalmazásai ne férhessenek hozzá az adatokhoz, amikor megpróbálják visszafejteni azokat. Harris megjegyezte, hogy a rendszerjogosultságokkal működő alkalmazáshoz kötött szolgáltatás miatt a potenciális támadóknak meg kell emelniük jogosultságaikat, vagy kódot kell bevinniük a Chrome-ba, hogy megkerüljék ezt a biztonsági funkciót; ez egy nagyon valószínűtlen forgatókönyv egy legitim szoftver esetében.
A titkosítási kulcs szoros kötődése a géphez megakadályozza, hogy ez a módszer kompatibilis legyen azokkal a környezetekkel, ahol a Chrome-profilok több gép között mozognak. A roamingprofilokat alkalmazó szervezeteknek azt javasoljuk, hogy alkalmazzák a bevált gyakorlatokat, és állítsák be az ApplicationBoundEncryptionEnabled ApplicationBoundEncryptionEnabled) házirend.
Ez a közelmúltbeli biztonsági fejlesztés, amelyet a Chrome 127-ben valósítottak meg, jelenleg kizárólag a cookie-k védelmére összpontosít. Ennek ellenére a Google ezt a védelmet a jelszavakra, fizetési információkra és további hitelesítési tokenekre is ki kívánja terjeszteni a jövőben.
Áprilisban a Google felvázolt egy módszert, amely egy Windows eseménynapló-típust, a DPAPIDefInformationEvent segítségével azonosítja más események előfordulását. a böngésző cookie-jaihoz és hitelesítő adataihoz hozzáférő alkalmazások a rendszerben.
A macOS és Linux rendszereken a Chrome a Keychain szolgáltatások és a rendszer által biztosított pénztárcák, például a kwallet vagy a gnome-libsecret kihasználásával biztosítja a jelszavak és a cookie-k biztonságát.
Ez a fejlesztés a Chrome-ban bevezetett számos biztonsági fejlesztés után jött létre, mint például a továbbfejlesztett Biztonságos böngészés, az Eszközhöz kötött munkamenet hitelesítő adatai (DBSC) és a potenciálisan rosszindulatú letöltések automatikus ellenőrzése. Harris hangsúlyozta, hogy az alkalmazásokhoz kötött titkosítás növeli az adatlopási erőfeszítések összetettségét és észlelhetőségét, segítve a biztonsági csapatokat abban, hogy kifejezett korlátokat határozhassanak meg a rendszeren belüli más alkalmazások által végrehajtott műveletekre.
Ezenkívül meg kell jegyezni, hogy a Google a közelmúltban úgy döntött, hogy nem szünteti meg a harmadik féltől származó cookie-kat a Chrome-ban. Ezt a lépést a World Wide Web Consortium (W3C) bírálat érte. A W3C aggodalmának adott hangot a harmadik féltől származó cookie-k folyamatos használata miatt, mivel ezek lehetővé teszik a nyomon követést, aminek negatív következményei lehetnek a társadalomra nézve, különösen a mikrocélú politikai üzenetek támogatása tekintetében. Ezenkívül a W3C arra figyelmeztetett, hogy ez a döntés potenciálisan akadályozhatja a harmadik féltől származó cookie-k életképes alternatíváinak fejlesztését a különféle webböngészők számára.