Google ได้เปิดตัวฟีเจอร์ความปลอดภัยใหม่สำหรับเบราว์เซอร์ Chrome ที่เรียกว่า App-Bound Encryption ซึ่งมีเป้าหมายในการป้องกันซอฟต์แวร์ที่เป็นอันตรายที่ขโมยข้อมูลจากการพยายามเข้าถึงคุกกี้บนระบบปฏิบัติการ Windows
ตามที่ Will Harris จากทีมรักษาความปลอดภัยของ Chrome ระบุว่า Chrome ใช้ Data Protection API (DPAPI) เพื่อปกป้องข้อมูลที่เหลือจากผู้ใช้รายอื่นหรือการโจมตีแบบ Cold Boot บนระบบ Windows อย่างไรก็ตาม DPAPI ไม่ได้ให้การป้องกันแอปพลิเคชันที่เป็นอันตรายซึ่งรันโค้ดในฐานะผู้ใช้ที่เข้าสู่ระบบ ปล่อยให้มีความเสี่ยงที่จะถูกโจมตีด้วยการขโมยข้อมูล
การเข้ารหัสที่เชื่อมโยงกับแอปเป็นมาตรการรักษาความปลอดภัยที่ปรับปรุง Data Protection API (DPAPI) โดยการฝังข้อมูลระบุตัวตนของแอปพลิเคชัน เช่น Chrome ภายในข้อมูลที่เข้ารหัส การรวมนี้ช่วยให้แน่ใจว่าแอปพลิเคชันอื่น ๆ ในระบบไม่สามารถเข้าถึงข้อมูลได้เมื่อพยายามถอดรหัส แฮร์ริสตั้งข้อสังเกตว่าเนื่องจากบริการที่เชื่อมโยงกับแอปซึ่งดำเนินการด้วยสิทธิ์ของระบบ ผู้โจมตีที่อาจเกิดขึ้นจะต้องยกระดับสิทธิ์ของตนหรือฉีดโค้ดลงใน Chrome เพื่อหลีกเลี่ยงคุณลักษณะความปลอดภัยนี้ นี่เป็นสถานการณ์ที่ไม่น่าเป็นไปได้อย่างมากสำหรับซอฟต์แวร์ที่ถูกกฎหมาย
การเชื่อมโยงคีย์เข้ารหัสกับเครื่องอย่างแน่นหนาจะป้องกันไม่ให้วิธีนี้เข้ากันได้กับสภาพแวดล้อมที่โปรไฟล์ Chrome ย้ายไปมาระหว่างเครื่องหลายเครื่อง องค์กรที่ใช้โปรไฟล์โรมมิ่งควรปฏิบัติตามแนวทางปฏิบัติแนะนำ(https://support.google.com/chrome/a/answer/7349337) และตั้งค่า ApplicationBoundEncryptionEnabled
การปรับปรุงความปลอดภัยล่าสุดนี้ซึ่งใช้งานใน Chrome 127 ปัจจุบันเน้นที่การปกป้องคุกกี้เพียงอย่างเดียว อย่างไรก็ตาม Google ตั้งใจที่จะขยายการป้องกันนี้ให้ครอบคลุมรหัสผ่าน ข้อมูลการชำระเงิน และโทเค็นการตรวจสอบสิทธิ์เพิ่มเติมในอนาคต
ในเดือนเมษายน Google ได้สรุปวิธีการโดยใช้ ประเภทบันทึกเหตุการณ์ของ Windows, DPAPIDefInformationEvent เพื่อระบุอินสแตนซ์ของเหตุการณ์อื่นๆ แอปพลิเคชันบนระบบที่เข้าถึงคุกกี้ของเบราว์เซอร์และข้อมูลประจำตัว
สำหรับระบบ macOS และ Linux นั้น Chrome จะรับประกันความปลอดภัยของรหัสผ่านและคุกกี้โดยใช้ประโยชน์จากบริการพวงกุญแจและกระเป๋าเงินที่ระบบมอบให้ เช่น kwallet หรือ gnome-libsecret
การพัฒนานี้เกิดขึ้นหลังจากการปรับปรุงความปลอดภัยจำนวนมากที่นำมาใช้ใน Chrome เช่น Safe Browsing ที่ได้รับการปรับปรุง, Device Bound Session Credentials (DBSC) และการตรวจสอบอัตโนมัติสำหรับการดาวน์โหลดที่อาจเป็นอันตราย แฮร์ริสเน้นย้ำว่าการเข้ารหัสที่ผูกกับแอปจะเพิ่มความซับซ้อนและความสามารถในการตรวจจับการขโมยข้อมูลได้ ช่วยทีมรักษาความปลอดภัยในการกำหนดขีดจำกัดที่ชัดเจนสำหรับการดำเนินการที่ยอมรับได้โดยแอปอื่นๆ ภายในระบบ
นอกจากนี้ ควรสังเกตว่าเมื่อเร็วๆ นี้ Google ได้ตัดสินใจที่จะไม่เลิกใช้คุกกี้ของบุคคลที่สามใน Chrome การเคลื่อนไหวครั้งนี้ได้รับการวิพากษ์วิจารณ์จาก World Wide Web Consortium (W3C) W3C แสดงความกังวลเกี่ยวกับการใช้คุกกี้ของบุคคลที่สามอย่างต่อเนื่อง เนื่องจากคุกกี้ดังกล่าวสามารถติดตามได้ ซึ่งอาจส่งผลเสียต่อสังคม โดยเฉพาะอย่างยิ่งในแง่ของการสนับสนุนข้อความทางการเมืองที่กำหนดเป้าหมายแบบไมโคร นอกจากนี้ W3C เตือนว่าการตัดสินใจนี้อาจขัดขวางความคืบหน้าในการพัฒนาทางเลือกอื่นที่ใช้ได้แทนคุกกี้ของบุคคลที่สามสำหรับเว็บเบราว์เซอร์ต่างๆ