Uzņēmums Google ir atklājis jaunu drošības līdzekli savam pārlūkam Chrome ar nosaukumu App-Bound Encryption, kas ir vērsts uz to, lai informāciju zagtu ļaunprātīga programmatūra novērstu mēģinājumus piekļūt sīkfailiem Windows operētājsistēmās.
Saskaņā ar Will Harris no Chrome drošības komandas teikto, Chrome izmanto datu aizsardzības API (DPAPI) lai aizsargātu datus miera stāvoklī no citiem lietotājiem vai aukstās sāknēšanas uzbrukumiem Windows sistēmām. Tomēr DPAPI nenodrošina aizsardzību pret ļaunprātīgām lietojumprogrammām, kas izpilda kodu kā pieteicies lietotājs, atstājot to neaizsargātu pret informācijas zagšanas uzbrukumiem.
Ar lietotnēm saistīta šifrēšana ir drošības pasākums, kas uzlabo datu aizsardzības API (DPAPI), šifrētajos datos ieguljot lietojumprogrammas, piemēram, Chrome, identitāti. Šī iekļaušana nodrošina, ka citas sistēmas lietojumprogrammas nevar piekļūt datiem, mēģinot tos atšifrēt. Heriss atzīmēja, ka, ņemot vērā ar lietotni saistīto pakalpojumu, kas darbojas ar sistēmas privilēģijām, potenciālajiem uzbrucējiem būs jāpalielina savas privilēģijas vai jāievada kods pārlūkā Chrome, lai apietu šo drošības līdzekli; šis ir ļoti maz ticams scenārijs likumīgai programmatūrai.
Šifrēšanas atslēgas ciešā saistība ar ierīci neļauj šai metodei būt saderīgai ar vidēm, kurās Chrome profili tiek pārvietoti starp vairākām iekārtām. Organizācijām, kas izmanto viesabonēšanas profilus, ieteicams īstenot paraugpraksi un iestatīt ApplicationBoundEncryptionEnabled politiku.
Šis nesenais drošības uzlabojums, kas ieviests pārlūkā Chrome 127, pašlaik koncentrējas tikai uz sīkfailu aizsardzību. Tomēr Google plāno paplašināt šo aizsardzību, lai nākotnē ietvertu paroles, maksājumu informāciju un papildu autentifikācijas pilnvaras.
Aprīlī Google izklāstīja metodi, kas izmanto Windows notikumu žurnāla veidu, DPAPIDefInformationEvent, lai identificētu citu gadījumu gadījumus. lietojumprogrammas sistēmā, kas piekļūst pārlūkprogrammas sīkfailiem un akreditācijas datiem.
MacOS un Linux sistēmām pārlūks Chrome nodrošina paroļu un sīkfailu drošību, izmantojot Keychain pakalpojumus un sistēmas nodrošinātos makus, piemēram, kwallet vai gnome-libsecret.
Šī attīstība notiek pēc daudziem pārlūkā Chrome ieviestajiem drošības uzlabojumiem, piemēram, uzlabotas Drošas pārlūkošanas, Ierīces sesijas akreditācijas datiem (DBSC) un automātiskām potenciāli ļaunprātīgu lejupielāžu pārbaudēm. Hariss uzsvēra, ka ar lietotnēm saistīta šifrēšana palielina datu zādzības centienu sarežģītību un nosakāmību, palīdzot drošības komandām definēt skaidrus ierobežojumus citu sistēmas lietotņu pieņemamām darbībām.
Turklāt jāatzīmē, ka Google nesen pieņēma lēmumu neatcelt trešo pušu sīkfailu izmantošanu pārlūkā Chrome. Šis solis ir saņēmis kritiku no World Wide Web Consortium (W3C). W3C pauda bažas par trešo pušu sīkfailu turpmāku izmantošanu, jo tie nodrošina izsekošanu, kam var būt negatīva ietekme uz sabiedrību, jo īpaši attiecībā uz mikromērķtiecīgu politisko vēstījumu atbalstīšanu. Turklāt W3C brīdināja, ka šis lēmums potenciāli varētu kavēt progresu, izstrādājot dzīvotspējīgas alternatīvas trešo pušu sīkfailiem dažādām tīmekļa pārlūkprogrammām.