Google telah meluncurkan fitur keamanan baru untuk browser Chrome-nya, yang disebut Enkripsi Terikat Aplikasi, yang menargetkan pencegahan perangkat lunak berbahaya yang mencuri informasi dari upaya mengakses cookie di sistem operasi Windows.
Menurut Will Harris dari Tim Keamanan Chrome, Chrome menggunakan API Perlindungan Data (DPAPI) untuk melindungi data yang tidak digunakan dari pengguna lain atau serangan cold boot pada sistem Windows. Namun, DPAPI tidak memberikan perlindungan terhadap aplikasi jahat yang mengeksekusi kode sebagai pengguna yang masuk, sehingga rentan terhadap serangan pencurian informasi.
Enkripsi terikat aplikasi adalah tindakan keamanan yang meningkatkan API Perlindungan Data (DPAPI) dengan menyematkan identitas aplikasi, seperti Chrome, dalam data terenkripsi. Penyertaan ini memastikan bahwa aplikasi lain pada sistem tidak dapat mengakses data ketika mencoba mendekripsinya. Harris mencatat bahwa karena layanan terikat aplikasi beroperasi dengan hak istimewa sistem, calon penyerang perlu meningkatkan hak istimewa mereka atau memasukkan kode ke Chrome untuk melewati fitur keamanan ini; ini adalah skenario yang sangat tidak mungkin terjadi pada perangkat lunak yang sah.
Pengikatan ketat kunci enkripsi ke mesin mencegah metode ini kompatibel dengan lingkungan tempat profil Chrome berpindah di antara beberapa mesin. Organisasi yang menggunakan profil roaming disarankan untuk menerapkan praktik terbaik dan menyiapkan ApplicationBoundEncryptionEnabled.
Peningkatan keamanan terbaru ini, yang diterapkan di Chrome 127, saat ini hanya berfokus pada perlindungan cookie. Namun demikian, Google bermaksud memperluas perlindungan ini untuk mencakup sandi, informasi pembayaran, dan token autentikasi tambahan di masa mendatang.
Pada bulan April, Google menguraikan metode yang memanfaatkan jenis log peristiwa Windows, DPAPIDefInformationEvent, untuk mengidentifikasi kejadian lainnya aplikasi pada sistem yang mengakses cookie dan kredensial browser.
Untuk sistem macOS dan Linux, Chrome memastikan keamanan kata sandi dan cookie dengan memanfaatkan layanan Rantai Kunci dan dompet yang disediakan sistem seperti kwallet atau gnome-libsecret.
Perkembangan ini terjadi setelah sejumlah penyempurnaan keamanan diperkenalkan di Chrome, seperti Penjelajahan Aman yang ditingkatkan, Kredensial Sesi Terikat Perangkat (DBSC), dan pemeriksaan otomatis untuk unduhan yang berpotensi berbahaya. Harris menekankan bahwa enkripsi yang terikat pada aplikasi meningkatkan kompleksitas dan kemampuan deteksi upaya pencurian data, membantu tim keamanan dalam menentukan batasan eksplisit atas tindakan yang dapat diterima oleh aplikasi lain dalam sistem.
Selain itu, perlu dicatat bahwa Google baru-baru ini membuat keputusan untuk tidak menghentikan penggunaan cookie pihak ketiga di Chrome. Langkah ini mendapat kritik dari World Wide Web Consortium (W3C). W3C menyatakan keprihatinannya terhadap terus-menerusnya penggunaan cookie pihak ketiga karena memungkinkan pelacakan, yang dapat berdampak negatif bagi masyarakat, khususnya dalam hal mendukung pesan-pesan politik yang ditargetkan secara mikro. Selain itu, W3C memperingatkan bahwa keputusan ini berpotensi menghambat kemajuan dalam pengembangan alternatif yang layak terhadap cookie pihak ketiga untuk berbagai browser web.