谷歌为其 Chrome 浏览器推出了一项名为“应用程序绑定加密”的新安全功能,旨在防止窃取信息的恶意软件尝试访问 Windows 操作系统上的 cookie。
根据 Chrome 安全团队的 Will Harris,Chrome 使用数据保护 API (DPAPI)保护静态数据免受其他用户或 Windows 系统上的冷启动攻击。但是,DPAPI 无法针对以登录用户身份执行代码的恶意应用程序提供保护,因此很容易受到信息窃取攻击。
应用程序绑定加密是一种安全措施,通过在加密数据中嵌入应用程序(例如 Chrome)的身份来改进数据保护 API (DPAPI)。这种包含确保系统上的其他应用程序在尝试解密数据时无法访问该数据。 Harris 指出,由于应用程序绑定的服务以系统权限运行,潜在的攻击者需要提升权限或将代码注入 Chrome 才能绕过此安全功能;对于合法软件来说,这种情况极不可能发生。
加密密钥与计算机的紧密绑定导致此方法无法与 Chrome 配置文件在多台计算机之间移动的环境兼容。建议使用漫游配置文件的组织实施最佳做法并设置[ApplicationBoundEncryptionEnabled](https://chromeenterprise.google/policies/# ApplicationBoundEncryptionEnabled)策略。
最近在 Chrome 127 中实现的安全增强功能目前仅专注于保护 cookie。尽管如此,谷歌打算在未来扩展这种保护,以涵盖密码、支付信息和其他身份验证令牌。
4 月份,Google 概述了一种利用 Windows 事件日志类型 DPAPIDefInformationEvent 来识别其他实例的方法。系统上的应用程序访问浏览器 cookie 和凭据。
对于 macOS 和 Linux 系统,Chrome 通过利用 Keychain 服务和系统提供的钱包(例如 kwallet 或 gnome-libsecret)来确保密码和 cookie 的安全。
这一发展是在 Chrome 中引入了许多安全增强功能之后实现的,例如增强的安全浏览、设备绑定会话凭证 (DBSC) 以及对潜在恶意下载的自动检查。哈里斯强调,应用程序绑定的加密提高了数据盗窃行为的复杂性和可检测性,帮助安全团队为系统内其他应用程序可接受的操作定义明确的限制。
此外,值得注意的是,谷歌最近决定不在 Chrome 中弃用第三方 cookie。此举遭到了万维网联盟(W3C)的批评。 W3C 对继续使用第三方 cookie 进行跟踪表示担忧,这可能对社会产生负面影响,特别是在支持微观目标政治信息方面。此外,W3C 警告称,这一决定可能会阻碍为各种网络浏览器开发第三方 cookie 的可行替代方案的进展。