O Google anunciou que está adicionando uma nova camada de proteção ao seu navegador Chrome por meio do que é chamado de criptografia vinculada ao aplicativo para evitar que malware que rouba informações seize cookies em sistemas Home windows.
“No Home windows, o Chrome usa a Information Safety API (DPAPI), que protege os dados em repouso de outros usuários no sistema ou ataques de inicialização a frio”, disse Will Harris, da equipe de segurança do Chrome. “No entanto, a DPAPI não protege contra aplicativos maliciosos capazes de executar código como o usuário conectado – do qual os ladrões de informações tiram vantagem.”
A criptografia vinculada ao aplicativo é uma melhoria em relação à DPAPI, pois ela entrelaça a identidade de um aplicativo (ou seja, o Chrome neste caso) em dados criptografados para impedir que outro aplicativo no sistema o acesse quando a descriptografia for tentada.
“Como o serviço vinculado ao aplicativo está sendo executado com privilégios de sistema, os invasores precisam fazer mais do que apenas persuadir um usuário a executar um aplicativo malicioso”, disse Harris. “Agora, o malware precisa obter privilégios de sistema ou injetar código no Chrome, algo que o software program legítimo não deveria fazer.”
Dado que o método vincula fortemente a chave de criptografia à máquina, ele não funcionará corretamente em ambientes onde os perfis do Chrome circulam entre várias máquinas. As organizações que oferecem suporte a perfis de roaming são incentivadas a seguir suas práticas recomendadas e configurar a política ApplicationBoundEncryptionEnabled.
A mudança, que entrou em vigor na semana passada com o lançamento do Chrome 127, se aplica apenas a cookies, embora o Google tenha dito que pretende expandir essa proteção para senhas, dados de pagamento e outros tokens de autenticação persistentes.
Em abril, a gigante da tecnologia descreveu uma técnica que emprega um tipo de log de eventos do Home windows chamado DPAPIDefInformationEvent para detectar de forma confiável o acesso a cookies e credenciais do navegador de outro aplicativo no sistema.
Vale ressaltar que o navegador protege senhas e cookies em sistemas Apple macOS e Linux usando serviços Keychain e carteiras fornecidas pelo sistema, como kwallet ou gnome-libsecret, respectivamente.
O desenvolvimento ocorre em meio a uma série de melhorias de segurança adicionadas ao Chrome nos últimos meses, incluindo Navegação Segura aprimorada, Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) e verificações automatizadas ao baixar arquivos potencialmente suspeitos e maliciosos.
“A criptografia vinculada ao aplicativo aumenta o custo do roubo de dados para os invasores e também torna suas ações muito mais ruidosas no sistema”, disse Harris. “Ela ajuda os defensores a traçar uma linha clara na areia para o que é comportamento aceitável para outros aplicativos no sistema.”
Isso também ocorre após o anúncio do Google de que não planeja mais descontinuar cookies de terceiros no Chrome, o que levou o World Large Internet Consortium (W3C) a reiterar que eles permitem o rastreamento e que a decisão prejudica o progresso alcançado até agora para fazer an online funcionar sem cookies de terceiros.
“O rastreamento e a coleta e corretagem subsequentes de dados podem dar suporte à micro-segmentação de mensagens políticas, o que pode ter um impacto prejudicial na sociedade”, disse. “A lamentável redução também terá efeitos secundários, pois provavelmente atrasará o trabalho entre navegadores em alternativas eficazes para cookies de terceiros.”
