Szyfrowanie plików cookie w przeglądarce Chrome wydaje się łatwe do złamania, ale Google twierdzi, że jest to zgodne z projektem
Jedna z aktualizacji przeglądarki Google Chrome zeszłego lata wprowadziła system szyfrowania plików cookie, mający na celu ochronę danych użytkownika. Jednak w ciągu zaledwie kilku miesięcy zarówno ekspertom ds. cyberbezpieczeństwa, jak i hakerom udało się go ominąć. Ale Google uważa swoje zadanie za zakończone.
Funkcja szyfrowania danych ABE (App-Bound Encryption) zadebiutowała w lipcu 2024 r. wraz z wydaniem przeglądarki Chrome 127. Szyfrowanie odbywa się za pomocą usługi Windows z uprawnieniami systemowymi. Narzędzie ma za zadanie zapobiegać kradzieży przez wirusy informacji przechowywanych w przeglądarce: danych logowania do stron internetowych, plików cookie sesji i wielu innych. „Ponieważ usługa App-Bound działa z uprawnieniami systemowymi, napastnicy będą musieli zrobić coś więcej, niż tylko nakłonić użytkownika do uruchomienia złośliwej aplikacji. Teraz złośliwa aplikacja musi uzyskać uprawnienia systemowe lub wstrzyknąć kod do przeglądarki Chrome, czego legalne oprogramowanie nie powinno robić” – wyjaśnił wówczas Google.
Jednak pod koniec września okazało się, że złośliwe oprogramowanie kradnące dane Lumma Stealer, StealC i wiele innych potrafiło ominąć tę funkcję. Google odpowiedział, że było to oczekiwane i że dobrze, że zmiany w przeglądarce zmusiły atakujących do zmiany zachowania. „Odpowiada to nowemu zachowaniu, które obserwujemy. Kontynuujemy współpracę z twórcami systemów operacyjnych i programów antywirusowych, aby skuteczniej wykrywać te nowe typy ataków, a także nadal staramy się wzmacniać ochronę przed kradzieżą informacji od naszych użytkowników” – oznajmiło Google.
Teraz ekspert ds. cyberbezpieczeństwa Alexander Hagenah opracował i opublikował na GitHubie narzędzie o nazwie Chrome-App-Bound-Encryption-Decryption, mające na celu ominięcie mechanizmów szyfrujących Chrome – w opisie autor zauważył, że opracowana dotychczas przez Google funkcja chroni jedynie pliki cookies, ale w przyszłości może służyć do ochrony haseł i informacji o płatnościach. Na pojawienie się projektu Google również zareagowało spokojnie. „Ten kod wymaga uprawnień administracyjnych, co wskazuje, że pomyślnie podnieśliśmy uprawnienia dostępu wymagane do pomyślnego przeprowadzenia tego typu ataku” – stwierdziła firma.