O Google anunciou que está adicionando uma nova camada de proteção ao seu navegador Chrome por meio do que é chamado de app-bound encryption, para impedir que malwares de roubo de informações capturem cookies em sistemas Windows.
"No Windows, o Chrome utiliza a Data Protection API (DPAPI), que protege os dados em repouso de outros usuários no sistema ou de ataques de cold boot," disse Will Harris, da equipe de segurança do Chrome.
Contudo, a DPAPI não protege contra aplicações maliciosas capazes de executar código como o usuário logado – o que é uma vantagem para os ladrões de informações.
A app-bound encryption é uma melhoria em relação à DPAPI porque entrelaça a identidade do app (ou seja, o Chrome neste caso) nos dados criptografados para impedir que outro app no sistema acesse esses dados ao tentar descriptografá-los.
"Como o serviço de app-bound é executado com privilégios de sistema, os atacantes precisam fazer mais do que apenas convencer um usuário a executar um app malicioso," disse Harris.
Agora, o malware tem que ganhar privilégios de sistema ou injetar código no Chrome, algo que um software legítimo não deveria fazer.
Dado que o método vincula fortemente a chave de criptografia à máquina, ele não funcionará corretamente em ambientes onde os perfis do Chrome migram entre várias máquinas.
Organizações que suportam perfis móveis são incentivadas a seguir suas melhores práticas e configurar a política ApplicationBoundEncryptionEnabled.
A mudança, que entrou em vigor na semana passada com o lançamento do Chrome 127, aplica-se apenas a cookies, embora o Google tenha dito que pretende expandir essa proteção para senhas, dados de pagamento e outros tokens de autenticação persistentes.
Em abril, o gigante da tecnologia descreveu uma técnica que emprega um tipo de log de eventos do Windows chamado DPAPIDefInformationEvent para detectar de forma confiável o acesso a cookies e credenciais do navegador de outra aplicação no sistema.
Vale ressaltar que o navegador web protege senhas e cookies no Apple macOS e sistemas Linux usando serviços Keychain e carteiras fornecidas pelo sistema, como kwallet ou gnome-libsecret, respectivamente.
O desenvolvimento vem no meio de uma série de melhorias de segurança adicionadas ao Chrome nos últimos meses, incluindo Safe Browsing aprimorado, Device Bound Session Credentials (DBSC) e varreduras automáticas ao baixar arquivos potencialmente suspeitos e maliciosos.
"A app-bound encryption aumenta o custo do roubo de dados para os atacantes e também torna suas ações muito mais perceptíveis no sistema," disse Harris.
Isso ajuda os defensores a traçar uma linha clara na areia sobre o que é um comportamento aceitável para outros apps no sistema.
Isso também segue o anúncio do Google de que não planeja mais depreciar cookies de terceiros no Chrome, levando o World Wide Web Consortium (W3C) a reiterar que eles possibilitam o rastreamento e que a decisão compromete o progresso alcançado até agora para fazer a web funcionar sem cookies de terceiros.
"O rastreamento e a subsequente coleta e corretagem de dados podem apoiar o microdirecionamento de mensagens políticas, o que pode ter um impacto negativo na sociedade," disse.
A infeliz recuada também terá efeitos secundários, pois é provável que retarde o trabalho inter-navegador sobre alternativas eficazes aos cookies de terceiros.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...