Google har avslöjat en ny säkerhetsfunktion för sin Chrome-webbläsare, kallad App-Bound Encryption, som syftar till att förhindra skadlig programvara som stjäl information från att försöka komma åt cookies i Windows-operativsystem.
Enligt Will Harris från Chrome Security Team använder Chrome Data Protection API (DPAPI) för att skydda data i vila från andra användare eller kallstartsattacker på Windows-system. DPAPI ger dock inget skydd mot skadliga applikationer som kör kod som den inloggade användaren, vilket gör den sårbar för attacker med informationsstöld.
Appbunden kryptering är en säkerhetsåtgärd som förbättrar Data Protection API (DPAPI) genom att bädda in identiteten för en applikation, som Chrome, i den krypterade datan. Denna inkludering säkerställer att andra applikationer i systemet inte kan komma åt data när de försöker dekryptera den. Harris noterade att på grund av den appbundna tjänsten som fungerar med systembehörigheter, skulle potentiella angripare behöva höja sina privilegier eller injicera kod i Chrome för att kringgå denna säkerhetsfunktion; detta är ett mycket osannolikt scenario för en legitim programvara.
Krypteringsnyckelns täta bindning till maskinen förhindrar att den här metoden är kompatibel med miljöer där Chrome-profiler flyttas mellan flera datorer. Organisationer som använder roamingprofiler rekommenderas att implementera bästa praxis och konfigurera ApplicationBoundEncryptionEnabled policy.
Denna senaste säkerhetsförbättring, implementerad i Chrome 127, fokuserar för närvarande enbart på att skydda cookies. Google avser dock att utöka detta skydd till att omfatta lösenord, betalningsinformation och ytterligare autentiseringstoken i framtiden.
I april beskrev Google en metod som använder en Windows-händelseloggtyp, DPAPIDefInformationEvent, för att identifiera instanser av andra applikationer på systemet som får åtkomst till webbläsarcookies och referenser.
För macOS- och Linux-system säkerställer Chrome säkerheten för lösenord och cookies genom att utnyttja nyckelringtjänster och systemförsedda plånböcker som kwallet eller gnome-libsecret.
Den här utvecklingen kommer efter många säkerhetsförbättringar som introducerats i Chrome, såsom förbättrad Säker webbsökning, Device Bound Session Credentials (DBSC) och automatiska kontroller för potentiellt skadliga nedladdningar. Harris betonade att appbunden kryptering ökar komplexiteten och upptäckbarheten av datastöldsinsatser, och hjälper säkerhetsteam att definiera explicita gränser för acceptabla åtgärder av andra appar i systemet.
Dessutom bör det noteras att Google nyligen fattade ett beslut att inte fasa ut tredjepartscookies i Chrome. Detta drag har mött kritik från World Wide Web Consortium (W3C). W3C uttryckte oro över den fortsatta användningen av tredjepartscookies eftersom de möjliggör spårning, vilket kan ha negativa konsekvenser för samhället, särskilt när det gäller att stödja mikroriktade politiska budskap. Dessutom varnade W3C för att detta beslut potentiellt skulle kunna hämma framstegen med att utveckla hållbara alternativ till tredjepartscookies för olika webbläsare.