Google har avduket en ny sikkerhetsfunksjon for sin Chrome-nettleser, kalt App-Bound Encryption, som retter seg mot å hindre informasjonsstjeling av skadelig programvare fra å forsøke å få tilgang til informasjonskapsler på Windows-operativsystemer.
Ifølge Will Harris fra Chrome Security Team, bruker Chrome Data Protection API (DPAPI) for å beskytte hvilende data fra andre brukere eller kaldoppstartsangrep på Windows-systemer. DPAPI gir imidlertid ikke beskyttelse mot ondsinnede applikasjoner som kjører kode som den påloggede brukeren, noe som gjør den sårbar for angrep fra informasjonstyveri.
Appbundet kryptering er et sikkerhetstiltak som forbedrer Data Protection API (DPAPI) ved å bygge inn identiteten til en applikasjon, for eksempel Chrome, i de krypterte dataene. Denne inkluderingen sikrer at andre applikasjoner på systemet ikke får tilgang til dataene når de prøver å dekryptere dem. Harris bemerket at på grunn av den appbundne tjenesten som opererer med systemprivilegier, ville potensielle angripere måtte heve privilegiene sine eller injisere kode i Chrome for å omgå denne sikkerhetsfunksjonen; dette er et svært usannsynlig scenario for en legitim programvare.
Krypteringsnøkkelens tette binding til maskinen hindrer denne metoden i å være kompatibel med miljøer der Chrome-profiler beveger seg mellom flere maskiner. Organisasjoner som bruker roaming-profiler anbefales å implementere beste fremgangsmåter og konfigurere ApplicationBoundEncryptionEnabled policy.
Denne nylige sikkerhetsforbedringen, implementert i Chrome 127, fokuserer for tiden utelukkende på å beskytte informasjonskapsler. Google har likevel til hensikt å utvide denne beskyttelsen til å omfatte passord, betalingsinformasjon og ytterligere autentiseringstokener i fremtiden.
I april skisserte Google en metode som bruker en Windows-hendelsesloggtype, DPAPIDefInformationEvent, for å identifisere forekomster av andre applikasjoner på systemet som får tilgang til nettleserinformasjonskapsler og påloggingsinformasjon.
For macOS- og Linux-systemer sikrer Chrome sikkerheten til passord og informasjonskapsler ved å utnytte nøkkelringtjenester og systemleverte lommebøker som kwallet eller gnome-libsecret.
Denne utviklingen kommer etter en rekke sikkerhetsforbedringer introdusert i Chrome, for eksempel forbedret Safe Browsing, Device Bound Session Credentials (DBSC) og automatiserte kontroller for potensielt ondsinnede nedlastinger. Harris understreket at appbundet kryptering øker kompleksiteten og oppdagerbarheten til datatyveri, og hjelper sikkerhetsteam med å definere eksplisitte grenser for akseptable handlinger fra andre apper i systemet.
Videre bør det bemerkes at Google nylig tok en beslutning om å ikke avvikle tredjeparts informasjonskapsler i Chrome. Dette trekket har møtt kritikk fra World Wide Web Consortium (W3C). W3C uttrykte bekymring for fortsatt bruk av tredjeparts informasjonskapsler ettersom de muliggjør sporing, noe som kan ha negative konsekvenser for samfunnet, spesielt når det gjelder å støtte mikromålrettede politiske meldinger. Videre advarte W3C om at denne avgjørelsen potensielt kan hindre fremdriften i å utvikle levedyktige alternativer til tredjeparts informasjonskapsler for ulike nettlesere.