Google은 정보를 훔치는 악성 소프트웨어가 Windows 운영 체제에서 쿠키에 액세스하는 것을 방지하는 것을 목표로 하는 App-Bound Encryption이라는 Chrome 브라우저의 새로운 보안 기능을 공개했습니다.
Chrome 보안팀의 Will Harris에 따르면 Chrome은 데이터 보호 API(DPAPI)를 사용합니다. 다른 사용자로부터 데이터를 보호하거나 Windows 시스템에 대한 콜드 부팅 공격을 방지합니다. 그러나 DPAPI는 로그인한 사용자로 코드를 실행하는 악성 응용 프로그램에 대한 보호 기능을 제공하지 않으므로 정보 도용 공격에 취약합니다.
앱 바인딩 암호화는 암호화된 데이터 내에 Chrome과 같은 애플리케이션의 ID를 삽입하여 데이터 보호 API(DPAPI)를 개선하는 보안 조치입니다. 이렇게 하면 시스템의 다른 응용 프로그램이 데이터를 해독하려고 할 때 데이터에 액세스할 수 없습니다. Harris는 시스템 권한으로 작동하는 앱 기반 서비스로 인해 잠재적인 공격자가 이 보안 기능을 우회하려면 권한을 높이거나 Chrome에 코드를 삽입해야 한다고 지적했습니다. 이는 합법적인 소프트웨어에 있어서는 거의 발생하지 않는 시나리오입니다.
암호화 키가 시스템에 단단히 바인딩되어 있으면 이 방법이 Chrome 프로필이 여러 시스템 간에 이동하는 환경과 호환되지 않습니다. 로밍 프로필을 사용하는 조직은 권장사항을 구현하고 ApplicationBoundEncryptionEnabled를 설정하는 것이 좋습니다. ApplicationBoundEncryptionEnabled) 정책.
Chrome 127에 구현된 최근 보안 강화 기능은 현재 쿠키 보호에만 중점을 두고 있습니다. 그럼에도 불구하고 Google은 향후 비밀번호, 결제 정보, 추가 인증 토큰까지 보호 범위를 확대할 계획입니다.
지난 4월, Google은 Windows 이벤트 로그 유형인 DPAPIDefInformationEvent를 활용하여 다른 이벤트의 인스턴스를 식별하는 방법을 설명했습니다. 브라우저 쿠키 및 자격 증명에 액세스하는 시스템의 애플리케이션.
macOS 및 Linux 시스템의 경우 Chrome은 키체인 서비스와 kwallet 또는 gnome-libsecret과 같은 시스템 제공 지갑을 활용하여 비밀번호와 쿠키의 보안을 보장합니다.
이번 개발은 향상된 세이프 브라우징, DBSC(Device Bound Session Credentials), 잠재적인 악성 다운로드에 대한 자동 검사 등 Chrome에 도입된 수많은 보안 개선 사항에 따른 것입니다. Harris는 앱 바인딩 암호화가 데이터 도난 노력의 복잡성과 탐지 가능성을 높이고 보안 팀이 시스템 내 다른 앱에서 허용할 수 있는 작업에 대한 명시적인 제한을 정의하는 데 도움이 된다고 강조했습니다.
또한 Google은 최근 Chrome에서 타사 쿠키를 지원하지 않기로 결정했습니다. 이러한 움직임은 월드와이드웹컨소시엄(W3C)으로부터 비판을 받았다. W3C는 추적을 가능하게 하는 제3자 쿠키의 지속적인 사용에 대해 우려를 표명했습니다. 이는 특히 마이크로 타겟 정치적 메시지 지원 측면에서 사회에 부정적인 영향을 미칠 수 있습니다. 더욱이 W3C는 이러한 결정이 다양한 웹 브라우저용 제3자 쿠키에 대한 실행 가능한 대안 개발의 진행을 잠재적으로 방해할 수 있다고 경고했습니다.