.
O Google diz que está aprimorando a segurança de dados confidenciais gerenciados pelos usuários do Chrome para Windows para combater o flagelo do malware infostealer que tem como alvo cookies.
Quando um criminoso cibernético obtém os cookies de sessão de um usuário, ele pode usá-los para sequestrar essas sessões, fazer login em contas que não são suas e, então, fazer qualquer coisa que o usuário legítimo faria, talvez até mesmo vender a conta no mercado negro.
Idealmente, esses cookies expiram após um curto período de tempo, limitando em teoria a janela na qual eles podem ser usados para sequestros de contas. Mas nem sempre é esse o caso. O incidente da Okta no ano passado envolvendo o roubo de arquivos HAR, que frequentemente contêm cookies de sessão, ilustrou o quão sérios esses ataques podem ser.
A partir do Chrome 127, cuja versão estável foi lançada na semana passada, o navegador agora usa primitivas de criptografia vinculadas a aplicativos que criptografam dados de uma forma que os vincula a um aplicativo específico.
Will Harris, engenheiro sênior de software da equipe de segurança do Chrome, disse que o Google usa os métodos mais seguros oferecidos a ele por cada sistema operacional para proteger os segredos do Chrome. Para macOS, é o Keychain, e no Linux é uma carteira fornecida pelo SO, como kwallet ou gnome-libsecret.
No Windows, o Chrome usa a API de proteção de dados (DPAPI), que oferece proteção forte, mas não contra aplicativos maliciosos, como infostealers, que executam código como um usuário autenticado.
“A criptografia vinculada ao aplicativo depende de um serviço privilegiado para verificar a identidade do aplicativo solicitante”, escreveu Harris em seu blog. “Durante a criptografia, o serviço de criptografia vinculada ao aplicativo codifica a identidade do aplicativo nos dados criptografados e, em seguida, verifica se isso é válido quando a descriptografia é tentada. Se outro aplicativo no sistema tentar descriptografar os mesmos dados, ele falhará.
“Como o serviço vinculado ao aplicativo está sendo executado com privilégios de sistema, os invasores precisam fazer mais do que apenas persuadir um usuário a executar um aplicativo malicioso. Agora, o malware precisa obter privilégios de sistema ou injetar código no Chrome, algo que o software legítimo não deveria fazer.
“Isso torna suas ações mais suspeitas para o software antivírus – e mais propensas a serem detectadas. Nossas outras iniciativas recentes, como fornecer logs de eventos para descriptografia de cookies, funcionam em conjunto com essa proteção, com o objetivo de aumentar ainda mais o custo e o risco de detecção para invasores que tentam roubar dados do usuário.”
Com o tempo, o Google planeja lançar essa mesma tecnologia para proteger outros segredos, como tokens de autenticação, senhas e dados de pagamento.
A criptografia vinculada ao aplicativo complementa medidas existentes, como cookies de sessão vinculados ao dispositivo, que foram lançados em abril. Eles vinculam a sessão de um usuário ao seu dispositivo, o que significa que quaisquer cookies roubados que estejam sendo abusados em um dispositivo que não pertença ao usuário genuíno não beneficiarão os invasores de forma alguma. Eles não funcionarão.
Na semana passada, o Google também melhorou a segurança da interface de downloads do Chrome, oferecendo aos usuários explicações mais detalhadas sobre o motivo pelo qual um determinado download foi bloqueado — uma medida projetada para facilitar que os usuários entendam o que pode acontecer se eles decidirem executar um download malicioso, como um infostealer.
A criptografia vinculada ao aplicativo funciona um pouco como os cookies de sessão vinculados ao dispositivo, pois a chave de criptografia associada ao segredo do Chrome é fortemente vinculada à máquina do usuário, de modo que os usuários corporativos não poderão se beneficiar dela se usarem vários dispositivos.
Quando o roaming do dispositivo é essencial para o trabalho de um determinado usuário, o Google recomenda seguir seu guia de práticas recomendadas ou usar a política ApplicationBoundEncryptionEnabled. ®
.
