O Google revelou um novo recurso de segurança para seu navegador Chrome, chamado App-Bound Encryption, que visa impedir que softwares maliciosos que roubam informações tentem acessar cookies em sistemas operacionais Windows.
De acordo com Will Harris da equipe de segurança do Chrome, o Chrome usa a API de proteção de dados (DPAPI) para proteger dados em repouso de outros usuários ou ataques de inicialização a frio em sistemas Windows. No entanto, a DPAPI não oferece proteção contra aplicativos maliciosos que executam código como o usuário conectado, deixando-o vulnerável a ataques de roubo de informações.
A criptografia vinculada ao aplicativo é uma medida de segurança que melhora a API de proteção de dados (DPAPI) incorporando a identidade de um aplicativo, como o Chrome, nos dados criptografados. Essa inclusão garante que outros aplicativos no sistema não consigam acessar os dados ao tentar descriptografá-los. Harris observou que, devido ao serviço vinculado ao aplicativo operar com privilégios de sistema, possíveis invasores precisariam elevar seus privilégios ou injetar código no Chrome para contornar esse recurso de segurança; este é um cenário altamente improvável para um software legítimo.
A forte ligação da chave de criptografia à máquina impede que esse método seja compatível com ambientes onde os perfis do Chrome se movem entre várias máquinas. Recomenda-se que as organizações que utilizam perfis de roaming implementem práticas recomendadas e configurem o ApplicationBoundEncryptionEnabled.
Este recente aprimoramento de segurança, implementado no Chrome 127, atualmente se concentra exclusivamente na proteção de cookies. No entanto, o Google pretende estender esta proteção para abranger senhas, informações de pagamento e tokens de autenticação adicionais no futuro.
Em abril, o Google descreveu um método que utiliza um tipo de log de eventos do Windows, DPAPIDefInformationEvent, para identificar instâncias de outros aplicativos no sistema acessando cookies e credenciais do navegador.
Para sistemas macOS e Linux, o Chrome garante a segurança de senhas e cookies aproveitando os serviços de Keychain e carteiras fornecidas pelo sistema, como kwallet ou gnome-libsecret.
Este desenvolvimento ocorre após vários aprimoramentos de segurança introduzidos no Chrome, como navegação segura aprimorada, credenciais de sessão vinculadas ao dispositivo (DBSC) e verificações automatizadas de downloads potencialmente maliciosos. Harris enfatizou que a criptografia vinculada a aplicativos aumenta a complexidade e a detectabilidade dos esforços de roubo de dados, auxiliando as equipes de segurança na definição de limites explícitos para ações aceitáveis de outros aplicativos dentro do sistema.
Além disso, deve-se notar que o Google tomou recentemente a decisão de não descontinuar cookies de terceiros no Chrome. Esta medida enfrentou críticas do World Wide Web Consortium (W3C). O W3C manifestou preocupação com a utilização continuada de cookies de terceiros, uma vez que permitem o rastreio, o que pode ter implicações negativas para a sociedade, particularmente em termos de apoio a mensagens políticas microdirecionadas. Além disso, o W3C alertou que esta decisão poderia potencialmente impedir o progresso no desenvolvimento de alternativas viáveis aos cookies de terceiros para vários navegadores web.