Google je razkril novo varnostno funkcijo za svoj brskalnik Chrome, imenovano App-Bound Encryption, ki je namenjena preprečevanju zlonamerne programske opreme, ki krade informacije, pri poskusu dostopa do piškotkov v operacijskih sistemih Windows.
Will Harris iz Chromove varnostne skupine pravi, da Chrome uporablja API za zaščito podatkov (DPAPI). za zaščito podatkov v mirovanju pred drugimi uporabniki ali napadi hladnega zagona v sistemih Windows. Vendar DPAPI ne zagotavlja zaščite pred zlonamernimi aplikacijami, ki izvajajo kodo kot prijavljeni uporabnik, zaradi česar je ranljiv za napade kraje informacij.
Šifriranje, vezano na aplikacijo, je varnostni ukrep, ki izboljša API za zaščito podatkov (DPAPI) z vdelavo identitete aplikacije, kot je Chrome, v šifrirane podatke. Ta vključitev zagotavlja, da druge aplikacije v sistemu ne morejo dostopati do podatkov, ko jih poskušajo dešifrirati. Harris je opozoril, da bi morali morebitni napadalci zaradi storitve, vezane na aplikacijo, ki deluje s sistemskimi privilegiji, povišati svoje privilegije ali vnesti kodo v Chrome, da bi zaobšli to varnostno funkcijo; to je zelo malo verjeten scenarij za zakonito programsko opremo.
Tesna vezava šifrirnega ključa na napravo preprečuje, da bi bila ta metoda združljiva z okolji, kjer se profili Chrome premikajo med več napravami. Organizacijam, ki uporabljajo gostujoče profile, priporočamo, da izvedejo najboljše prakse in nastavijo ApplicationBoundEncryptionEnabled.
Ta nedavna varnostna izboljšava, implementirana v Chrome 127, se trenutno osredotoča izključno na zaščito piškotkov. Kljub temu namerava Google v prihodnosti to zaščito razširiti na gesla, podatke o plačilu in dodatne žetone za preverjanje pristnosti.
Aprila je Google predstavil metodo, ki uporablja vrsto dnevnika dogodkov Windows, DPAPIDefInformationEvent, za prepoznavanje primerkov drugih aplikacije v sistemu, ki dostopajo do piškotkov brskalnika in poverilnic.
Za sisteme macOS in Linux Chrome zagotavlja varnost gesel in piškotkov z uporabo storitev Keychain in denarnic, ki jih zagotavlja sistem, kot sta kwallet ali gnome-libsecret.
Ta razvoj prihaja po številnih varnostnih izboljšavah, uvedenih v Chromu, kot so izboljšano varno brskanje, poverilnice seje vezane na napravo (DBSC) in avtomatizirana preverjanja morebitnih zlonamernih prenosov. Harris je poudaril, da šifriranje, vezano na aplikacijo, poveča kompleksnost in zaznavnost poskusov kraje podatkov ter pomaga varnostnim ekipam pri določanju eksplicitnih omejitev za sprejemljiva dejanja drugih aplikacij v sistemu.
Poleg tega je treba opozoriti, da se je Google pred kratkim odločil, da ne bo opustil piškotkov tretjih oseb v Chromu. Ta poteza je naletela na kritike konzorcija svetovnega spleta (W3C). W3C je izrazil zaskrbljenost zaradi nadaljnje uporabe piškotkov tretjih oseb, saj omogočajo sledenje, kar ima lahko negativne posledice za družbo, zlasti v smislu podpiranja mikrotargetiranih političnih sporočil. Poleg tega je W3C opozoril, da bi ta odločitev lahko ovirala napredek pri razvoju izvedljivih alternativ piškotkom tretjih oseb za različne spletne brskalnike.