Google ha presentato una nuova funzionalità di sicurezza per il suo browser Chrome, chiamata App-Bound Encryption, che mira a impedire a software dannoso che ruba informazioni di tentare di accedere ai cookie sui sistemi operativi Windows.
Secondo Will Harris del team di sicurezza di Chrome, Chrome utilizza la Data Protection API (DPAPI) per proteggere i dati inattivi da altri utenti o attacchi di avvio a freddo sui sistemi Windows. Tuttavia, DPAPI non fornisce protezione contro le applicazioni dannose che eseguono codice come utente registrato, rendendolo vulnerabile agli attacchi di furto di informazioni.
La crittografia associata all'app è una misura di sicurezza che migliora la Data Protection API (DPAPI) incorporando l'identità di un'applicazione, come Chrome, all'interno dei dati crittografati. Questa inclusione garantisce che altre applicazioni sul sistema non siano in grado di accedere ai dati quando tentano di decrittografarli. Harris ha osservato che, a causa del servizio associato all'app che funziona con privilegi di sistema, i potenziali aggressori dovrebbero elevare i propri privilegi o inserire codice in Chrome per aggirare questa funzionalità di sicurezza; questo è uno scenario altamente improbabile per un software legittimo.
Lo stretto legame della chiave di crittografia al computer impedisce a questo metodo di essere compatibile con ambienti in cui i profili Chrome vengono spostati tra più computer. Si consiglia alle organizzazioni che utilizzano profili di roaming di implementare le migliori pratiche e di configurare ApplicationBoundEncryptionEnabled.
Questo recente miglioramento della sicurezza, implementato in Chrome 127, attualmente si concentra esclusivamente sulla salvaguardia dei cookie. Tuttavia, in futuro Google intende estendere questa protezione anche a password, informazioni di pagamento e token di autenticazione aggiuntivi.
Ad aprile, Google ha delineato un metodo che utilizza un tipo di registro eventi di Windows, DPAPIDefInformationEvent, per identificare istanze di altri applicazioni sul sistema che accedono ai cookie e alle credenziali del browser.
Per i sistemi macOS e Linux, Chrome garantisce la sicurezza di password e cookie sfruttando i servizi Portachiavi e i portafogli forniti dal sistema come kwallet o gnome-libsecret.
Questo sviluppo arriva dopo numerosi miglioramenti alla sicurezza introdotti in Chrome, come la Navigazione sicura migliorata, le credenziali della sessione associata al dispositivo (DBSC) e i controlli automatizzati per download potenzialmente dannosi. Harris ha sottolineato che la crittografia legata alle app aumenta la complessità e la rilevabilità degli sforzi di furto di dati, aiutando i team di sicurezza a definire limiti espliciti per azioni accettabili da parte di altre app all’interno del sistema.
Inoltre, va notato che Google ha recentemente deciso di non deprecare i cookie di terze parti in Chrome. Questa mossa è stata criticata dal World Wide Web Consortium (W3C). Il W3C ha espresso preoccupazione per l’uso continuato di cookie di terze parti poiché consentono il tracciamento, che può avere implicazioni negative per la società, in particolare in termini di supporto di messaggi politici micro-mirati. Inoltre, il W3C ha avvertito che questa decisione potrebbe potenzialmente ostacolare il progresso nello sviluppo di valide alternative ai cookie di terze parti per vari browser web.