Google heeft aangekondigd dat het een nieuwe beveiligingslaag toevoegt aan de Chrome-browser. Deze laag wordt app-gebonden encryptie genoemd en moet voorkomen dat malware die informatie kan stelen, cookies op Windows-systemen kan stelen.
“Op Windows gebruikt Chrome de Data Protection API (DPAPI) die de data at rest beschermt tegen andere gebruikers op het systeem of cold boot-aanvallen”, aldus Will Harris van het Chrome-beveiligingsteam. “De DPAPI beschermt echter niet tegen kwaadaardige applicaties die code kunnen uitvoeren als de ingelogde gebruiker – waar info-stealers misbruik van maken.”
App-gebonden encryptie is een verbetering ten opzichte van DPAPI, omdat de identiteit van een app (in dit geval Chrome) wordt samengevoegd met gecodeerde gegevens. Zo wordt voorkomen dat een andere app op het systeem toegang krijgt tot de gegevens wanneer er wordt geprobeerd deze te decoderen.
“Omdat de app-gebonden service draait met systeemprivileges, moeten aanvallers meer doen dan alleen een gebruiker overhalen om een kwaadaardige app te draaien,” zei Harris. “Nu moet de malware systeemprivileges verkrijgen of code in Chrome injecteren, iets wat legitieme software niet zou moeten doen.”
Aangezien de methode de encryptiesleutel sterk aan de machine bindt, zal deze niet correct functioneren in omgevingen waarin Chrome-profielen tussen meerdere machines roamen. Organisaties die roamingprofielen ondersteunen, worden aangemoedigd om de best practices te volgen en het beleid ApplicationBoundEncryptionEnabled te configureren.
De wijziging, die vorige week van kracht werd met de release van Chrome 127, is alleen van toepassing op cookies, hoewel Google heeft aangegeven dat het van plan is deze bescherming uit te breiden naar wachtwoorden, betalingsgegevens en andere permanente authenticatietokens.
In april presenteerde de techgigant een techniek die gebruikmaakt van een Windows-gebeurtenislogboektype met de naam DPAPIDefInformationEvent om op betrouwbare wijze toegang tot browsercookies en inloggegevens vanuit een andere toepassing op het systeem te detecteren.
Het is belangrijk om te weten dat de webbrowser wachtwoorden en cookies op Apple macOS- en Linux-systemen beveiligt met behulp van Sleutelhangerservices en door het systeem aangeboden wallets zoals kwallet of gnome-libsecret.
De ontwikkeling volgt op een reeks beveiligingsverbeteringen die de afgelopen maanden aan Chrome zijn toegevoegd, waaronder verbeterde Safe Browsing, Device Bound Session Credentials (DBSC) en automatische scans bij het downloaden van mogelijk verdachte en schadelijke bestanden.
“App-gebonden encryptie verhoogt de kosten van datadiefstal voor aanvallers en maakt hun acties ook veel luidruchtiger op het systeem”, aldus Harris. “Het helpt verdedigers een duidelijke grens te trekken voor wat acceptabel gedrag is voor andere apps op het systeem.”
Het besluit volgt ook op de aankondiging van Google dat het niet langer van plan is om cookies van derden in Chrome te verbieden. Hierdoor benadrukt het World Wide Web Consortium (W3C) nogmaals dat cookies tracking mogelijk maken en dat het besluit de vooruitgang die tot nu toe is geboekt om het web te laten werken zonder cookies van derden, ondermijnt.
“Tracking en daaropvolgende dataverzameling en -bemiddeling kunnen microtargeting van politieke boodschappen ondersteunen, wat een schadelijke impact op de maatschappij kan hebben”, aldus het rapport. “De ongelukkige terugval zal ook secundaire effecten hebben, aangezien het waarschijnlijk het werk van browser-overschrijdende effectieve alternatieven voor cookies van derden zal vertragen.”
