Google đã tiết lộ một tính năng bảo mật mới cho trình duyệt Chrome của mình, được gọi là Mã hóa giới hạn ứng dụng, nhằm mục đích ngăn chặn phần mềm độc hại đánh cắp thông tin cố gắng truy cập cookie trên hệ điều hành Windows.
Theo Will Harris từ Nhóm bảo mật Chrome, Chrome sử dụng API bảo vệ dữ liệu (DPAPI) để bảo vệ dữ liệu đang lưu trữ khỏi người dùng khác hoặc các cuộc tấn công khởi động nguội trên hệ thống Windows. Tuy nhiên, DPAPI không cung cấp khả năng bảo vệ chống lại các ứng dụng độc hại thực thi mã với tư cách là người dùng đã đăng nhập, khiến nó dễ bị tấn công đánh cắp thông tin.
Mã hóa giới hạn ứng dụng là một biện pháp bảo mật giúp cải thiện API bảo vệ dữ liệu (DPAPI) bằng cách nhúng danh tính của một ứng dụng, chẳng hạn như Chrome, vào dữ liệu được mã hóa. Việc bao gồm này đảm bảo rằng các ứng dụng khác trên hệ thống không thể truy cập dữ liệu khi cố gắng giải mã nó. Harris lưu ý rằng do dịch vụ gắn với ứng dụng hoạt động với các đặc quyền của hệ thống, những kẻ tấn công tiềm năng sẽ cần nâng cao đặc quyền của chúng hoặc đưa mã vào Chrome để vượt qua tính năng bảo mật này; đây là một kịch bản rất khó xảy ra đối với một phần mềm hợp pháp.
Sự liên kết chặt chẽ của khóa mã hóa với máy khiến phương pháp này không tương thích với các môi trường nơi cấu hình Chrome di chuyển giữa nhiều máy. Các tổ chức sử dụng hồ sơ chuyển vùng nên triển khai các phương pháp hay nhất và thiết lập ApplicationBoundEncryptionEnabled.
Tính năng nâng cao bảo mật gần đây này, được triển khai trong Chrome 127, hiện chỉ tập trung vào việc bảo vệ cookie. Tuy nhiên, Google dự định mở rộng biện pháp bảo vệ này để bao gồm mật khẩu, thông tin thanh toán và mã thông báo xác thực bổ sung trong tương lai.
Vào tháng 4, Google đã phác thảo một phương pháp sử dụng loại nhật ký sự kiện Windows, DPAPIDefInformationEvent, để xác định các trường hợp của các sự kiện khác các ứng dụng trên hệ thống truy cập cookie và thông tin đăng nhập của trình duyệt.
Đối với hệ thống macOS và Linux, Chrome đảm bảo tính bảo mật của mật khẩu và cookie bằng cách tận dụng các dịch vụ Chuỗi khóa và ví do hệ thống cung cấp như kwallet hoặc gnome-libsecret.
Sự phát triển này diễn ra sau nhiều cải tiến bảo mật được giới thiệu trong Chrome, chẳng hạn như Duyệt web an toàn nâng cao, Thông tin xác thực phiên giới hạn thiết bị (DBSC) và kiểm tra tự động đối với các nội dung tải xuống có khả năng độc hại. Harris nhấn mạnh rằng mã hóa giới hạn ứng dụng làm tăng độ phức tạp và khả năng bị phát hiện của các nỗ lực đánh cắp dữ liệu, hỗ trợ các nhóm bảo mật xác định giới hạn rõ ràng cho các hành động có thể chấp nhận được của các ứng dụng khác trong hệ thống.
Hơn nữa, cần lưu ý rằng gần đây Google đã đưa ra quyết định không dùng cookie của bên thứ ba trong Chrome. Động thái này đã vấp phải sự chỉ trích từ World Wide Web Consortium (W3C). W3C bày tỏ lo ngại về việc tiếp tục sử dụng cookie của bên thứ ba khi chúng cho phép theo dõi, điều này có thể có tác động tiêu cực đối với xã hội, đặc biệt là về mặt hỗ trợ các thông điệp chính trị có mục tiêu vi mô. Hơn nữa, W3C cảnh báo rằng quyết định này có thể cản trở tiến trình phát triển các lựa chọn thay thế khả thi cho cookie của bên thứ ba cho các trình duyệt web khác nhau.