Google a dezvăluit o nouă caracteristică de securitate pentru browserul său Chrome, numită App-Bound Encryption, care vizează prevenirea tentativei de accesare a cookie-urilor pe sistemele de operare Windows de către software-ul rău intenționat care fură informații.
Potrivit Will Harris de la Echipa de securitate Chrome, Chrome folosește API-ul de protecție a datelor (DPAPI) pentru a proteja datele în repaus de alți utilizatori sau atacurile de încărcare la rece pe sistemele Windows. Cu toate acestea, DPAPI nu oferă protecție împotriva aplicațiilor rău intenționate care execută cod ca utilizator conectat, lăsându-l vulnerabil la atacuri de furt de informații.
Criptarea legată de aplicație este o măsură de securitate care îmbunătățește API-ul de protecție a datelor (DPAPI) prin încorporarea identității unei aplicații, cum ar fi Chrome, în datele criptate. Această includere asigură că alte aplicații din sistem nu pot accesa datele atunci când încearcă să le decripteze. Harris a remarcat că, datorită serviciului legat de aplicație care funcționează cu privilegii de sistem, potențialii atacatori ar trebui să-și ridice privilegiile sau să injecteze cod în Chrome pentru a ocoli această caracteristică de securitate; acesta este un scenariu foarte puțin probabil pentru un software legitim.
Legarea strânsă a cheii de criptare la aparat împiedică această metodă să fie compatibilă cu mediile în care profilurile Chrome se deplasează între mai multe computere. Se recomandă organizațiilor care folosesc profiluri de roaming să implementeze cele mai bune practici și să configureze ApplicationBoundEncryptionEnabled.
Această îmbunătățire recentă a securității, implementată în Chrome 127, se concentrează în prezent exclusiv pe protejarea cookie-urilor. Cu toate acestea, Google intenționează să extindă această protecție pentru a include parole, informații de plată și jetoane de autentificare suplimentare în viitor.
În aprilie, Google a subliniat o metodă care utilizează un tip de jurnal de evenimente Windows, DPAPIDefInformationEvent, pentru a identifica instanțe ale altor aplicații din sistem care accesează cookie-uri și acreditări ale browserului.
Pentru sistemele macOS și Linux, Chrome asigură securitatea parolelor și a cookie-urilor utilizând serviciile Keychain și portofelele furnizate de sistem, cum ar fi kwallet sau gnome-libsecret.
Această dezvoltare vine după numeroase îmbunătățiri de securitate introduse în Chrome, cum ar fi navigarea sigură îmbunătățită, acreditările de sesiune legată de dispozitiv (DBSC) și verificări automate pentru descărcări potențial rău intenționate. Harris a subliniat că criptarea legată de aplicații crește complexitatea și detectabilitatea eforturilor de furt de date, ajutând echipele de securitate să definească limite explicite pentru acțiunile acceptabile ale altor aplicații din sistem.
Mai mult, trebuie menționat că Google a luat recent decizia de a nu renunța la cookie-urile terță parte în Chrome. Această mișcare a fost criticată din partea World Wide Web Consortium (W3C). W3C și-a exprimat îngrijorarea cu privire la continuarea utilizării cookie-urilor de la terți, deoarece acestea permit urmărirea, ceea ce poate avea implicații negative pentru societate, în special în ceea ce privește sprijinirea mesajelor politice micro-țintite. Mai mult, W3C a avertizat că această decizie ar putea împiedica progresul în dezvoltarea unor alternative viabile la cookie-urile terță parte pentru diferite browsere web.