„Google“ pristatė naują savo „Chrome“ naršyklės saugos funkciją, pavadintą „App-Bound Encryption“, kurios tikslas – užkirsti kelią informaciją vagiančiai kenkėjiškai programinei įrangai, kuri bando pasiekti slapukus „Windows“ operacinėse sistemose.
Pasak Willo Harriso iš „Chrome“ saugos komandos, „Chrome“ naudoja duomenų apsaugos API (DPAPI) apsaugoti ramybės būsenos duomenis nuo kitų vartotojų ar šalto įkrovimo atakų prieš Windows sistemas. Tačiau DPAPI neapsaugo nuo kenkėjiškų programų, kurios kodą vykdo kaip prisijungęs vartotojas, todėl jis yra pažeidžiamas informacijos vagystės atakoms.
Su programomis susietas šifravimas yra saugos priemonė, kuri pagerina duomenų apsaugos API (DPAPI), į šifruotus duomenis įterpdama programos, pvz., „Chrome“ tapatybę. Šis įtraukimas užtikrina, kad kitos sistemos programos negalės pasiekti duomenų, kai bando juos iššifruoti. Harrisas pažymėjo, kad dėl su programėlėmis susietos paslaugos, veikiančios su sistemos privilegijomis, potencialūs užpuolikai turės padidinti savo privilegijas arba įvesti kodą į „Chrome“, kad apeitų šią saugos funkciją; tai labai mažai tikėtinas teisėtos programinės įrangos scenarijus.
Tvirtas šifravimo rakto susiejimas su įrenginiu neleidžia šiam metodui suderinti su aplinkomis, kuriose „Chrome“ profiliai perkeliami iš vieno įrenginio į kitą. Organizacijoms, naudojančioms tarptinklinio ryšio profilius, rekomenduojama įdiegti geriausią praktiką ir nustatyti ApplicationBoundEncryptionEnabled politika.
Šis naujausias saugos patobulinimas, įdiegtas „Chrome 127“, šiuo metu skirtas tik slapukų apsaugai. Nepaisant to, „Google“ ketina išplėsti šią apsaugą, kad apimtų slaptažodžius, mokėjimo informaciją ir papildomus autentifikavimo prieigos raktus.
Balandžio mėn. „Google“ apibūdino metodą, naudojantį Windows įvykių žurnalo tipą, DPAPIDefInformationEvent, kad nustatytų kitų įvykių atvejus. sistemos programos, pasiekiančios naršyklės slapukus ir kredencialus.
„MacOS“ ir „Linux“ sistemose „Chrome“ užtikrina slaptažodžių ir slapukų saugumą naudodama „Keychain“ paslaugas ir sistemos teikiamas pinigines, pvz., „kwallet“ arba „gnome-libsecret“.
Ši plėtra atsirado po daugybės „Chrome“ įdiegtų saugos patobulinimų, tokių kaip patobulintas saugus naršymas, su įrenginiu susietos sesijos kredencialai (DBSC) ir automatizuotas galimai kenkėjiškų atsisiuntimų patikrinimas. Harrisas pabrėžė, kad su programomis susietas šifravimas padidina duomenų vagysčių pastangų sudėtingumą ir aptinkamumą, padėdamas saugos komandoms apibrėžti aiškias kitų sistemos programų priimtinų veiksmų ribas.
Be to, reikėtų pažymėti, kad „Google“ neseniai priėmė sprendimą nepanaudoti trečiųjų šalių slapukų „Chrome“. Šis žingsnis sulaukė kritikos iš World Wide Web Consortium (W3C). W3C išreiškė susirūpinimą dėl nuolatinio trečiųjų šalių slapukų naudojimo, nes jie įgalina sekimą, o tai gali turėti neigiamų pasekmių visuomenei, ypač palaikant labai mažus politinius pranešimus. Be to, W3C perspėjo, kad šis sprendimas gali trukdyti kurti perspektyvias alternatyvas trečiųjų šalių slapukams įvairioms interneto naršyklėms.