防範Windows竊密軟體，Google Chrome新增防護功能

有鑒於竊密軟體盛行，Google為Chrome新增應用導向的加密技術，防範惡意應用程式竊取瀏覽器密碼或網銀帳號。

為了加速上網使用服務，Chrome會利用OS提供的安全功能來儲存重要資訊，像是密碼或cookies。例如在macOS上，Chrome使用Keychain服務，在Linux上，則用了kwallet或gnome-libsecret。在Windows上，Chrome已經用了資料保護API（Data Protection API，DPAPI），它可以保護靜態資料免於系統上其他用戶存取，或是冷啟動攻擊（cold boot attack）。但是DPAPI並不能防止以既有登入用戶身分執行程式碼的惡意應用程式，這種技倆為許多竊密軟體常用。

因此在Windows版Chrome 127版將加入新技術，提供應用導向的加密（App-Bound Encryption）型別。在此新技術下，Chrome能加密和應用身分（identity）相關的資料，不是所有以既有登入用戶身分執行的App都能存取這些資料，類似macOS上Keychain的運作方式。

Google會逐步將所有敏感資料移到新的保護系統，會先從Chrome 127中的cookies開始。未來，Google計畫擴大到密碼、支付資料或其他常駐的驗證token等，以防範竊密惡意程式。

由於應用導向服務是結合系統權限執行，攻擊者必須設法誘騙用戶執行惡意App。惡意程式必須取得更高系統權限，若無法呼叫更高權限，就會使用程式碼注入手法，但也更容易被端點代理程式偵測到。

Google並說，這類防護可能被惡意程式以高等用戶權限來繞過，因此最新的Chrome安全功能格外適合那些不允許用戶下載並執行檔案的企業環境。

此外，Google提醒，App導向的加密方法仰賴將加密金鑰綁在機器上，無法正確執行在多臺機器之間輪轉Chrome用戶資料檔（profile）的企業環境中。若前述企業想使用Google Chrome的新防護功能，可使用ApplicationBoundEncryptionEnabled規則來配置應用導向的加密。