Google heeft een nieuwe beveiligingsfunctie voor zijn Chrome-browser onthuld, genaamd App-Bound Encryption, die erop gericht is te voorkomen dat informatiestelende kwaadaardige software probeert toegang te krijgen tot cookies op Windows-besturingssystemen.
Volgens Will Harris van het Chrome-beveiligingsteam gebruikt Chrome de Data Protection API (DPAPI) om gegevens in rust te beschermen tegen andere gebruikers of cold-boot-aanvallen op Windows-systemen. DPAPI biedt echter geen bescherming tegen kwaadwillende toepassingen die code uitvoeren als de ingelogde gebruiker, waardoor deze kwetsbaar wordt voor aanvallen op het stelen van informatie.
App-gebonden versleuteling is een beveiligingsmaatregel die de Data Protection API (DPAPI) verbetert door de identiteit van een applicatie, zoals Chrome, in de versleutelde gegevens in te sluiten. Deze opname zorgt ervoor dat andere applicaties op het systeem geen toegang hebben tot de gegevens wanneer ze proberen deze te decoderen. Harris merkte op dat vanwege de app-gebonden service die met systeemrechten werkt, potentiële aanvallers hun rechten zouden moeten verhogen of code in Chrome zouden moeten injecteren om deze beveiligingsfunctie te omzeilen; dit is een hoogst onwaarschijnlijk scenario voor legitieme software.
De nauwe binding van de encryptiesleutel aan de machine verhindert dat deze methode compatibel is met omgevingen waarin Chrome-profielen tussen meerdere machines bewegen. Organisaties die roamingprofielen gebruiken, wordt aangeraden de best practices implementeren en de ApplicationBoundEncryptionEnabled in te stellen ApplicationBoundEncryptionEnabled) beleid.
Deze recente beveiligingsverbetering, geïmplementeerd in Chrome 127, richt zich momenteel uitsluitend op het beveiligen van cookies. Niettemin is Google van plan deze bescherming in de toekomst uit te breiden met wachtwoorden, betalingsinformatie en aanvullende authenticatietokens.
In april schetste Google een methode die gebruikmaakt van een Windows-gebeurtenislogboektype, DPAPIDefInformationEvent, om instanties van andere toepassingen op het systeem die toegang hebben tot browsercookies en inloggegevens.
Voor macOS- en Linux-systemen zorgt Chrome voor de veiligheid van wachtwoorden en cookies door gebruik te maken van Keychain-services en door het systeem geleverde portemonnees zoals kwallet of gnome-libsecret.
Deze ontwikkeling komt na talrijke beveiligingsverbeteringen die in Chrome zijn geïntroduceerd, zoals verbeterd Safe Browsing, Device Bound Session Credentials (DBSC) en geautomatiseerde controles op mogelijk schadelijke downloads. Harris benadrukte dat app-gebonden encryptie de complexiteit en detecteerbaarheid van datadiefstal-inspanningen verhoogt, waardoor beveiligingsteams worden geholpen bij het definiëren van expliciete limieten voor acceptabele acties van andere apps binnen het systeem.
Verder moet worden opgemerkt dat Google onlangs heeft besloten om cookies van derden in Chrome niet af te schaffen. Deze stap kreeg kritiek van het World Wide Web Consortium (W3C). Het W3C uitte zijn bezorgdheid over het aanhoudende gebruik van cookies van derden, omdat deze tracking mogelijk maken, wat negatieve gevolgen kan hebben voor de samenleving, vooral als het gaat om het ondersteunen van microgerichte politieke boodschappen. Bovendien waarschuwde het W3C dat dit besluit mogelijk de voortgang bij het ontwikkelen van haalbare alternatieven voor cookies van derden voor verschillende webbrowsers zou kunnen belemmeren.