有鑒於竊密軟體盛行,Google為Chrome新增應用導向的加密技術,防範惡意應用程式竊取瀏覽器密碼或網銀帳號。
為了加速上網使用服務,Chrome會利用OS提供的安全功能來儲存重要資訊,像是密碼或cookies。例如在macOS上,Chrome使用Keychain服務,在Linux上,則用了kwallet或gnome-libsecret。在Windows上,Chrome已經用了資料保護API(Data Protection API,DPAPI),它可以保護靜態資料免於系統上其他用戶存取,或是冷啟動攻擊(cold boot attack)。但是DPAPI並不能防止以既有登入用戶身分執行程式碼的惡意應用程式,這種技倆為許多竊密軟體常用。
因此在Windows版Chrome 127版將加入新技術,提供應用導向的加密(App-Bound Encryption)型別。在此新技術下,Chrome能加密和應用身分(identity)相關的資料,不是所有以既有登入用戶身分執行的App都能存取這些資料,類似macOS上Keychain的運作方式。
Google會逐步將所有敏感資料移到新的保護系統,會先從Chrome 127中的cookies開始。未來,Google計畫擴大到密碼、支付資料或其他常駐的驗證token等,以防範竊密惡意程式。
由於應用導向服務是結合系統權限執行,攻擊者必須設法誘騙用戶執行惡意App。惡意程式必須取得更高系統權限,若無法呼叫更高權限,就會使用程式碼注入手法,但也更容易被端點代理程式偵測到。
Google並說,這類防護可能被惡意程式以高等用戶權限來繞過,因此最新的Chrome安全功能格外適合那些不允許用戶下載並執行檔案的企業環境。
此外,Google提醒,App導向的加密方法仰賴將加密金鑰綁在機器上,無法正確執行在多臺機器之間輪轉Chrome用戶資料檔(profile)的企業環境中。若前述企業想使用Google Chrome的新防護功能,可使用ApplicationBoundEncryptionEnabled規則來配置應用導向的加密。
熱門新聞
2024-12-29
2024-12-28
2024-12-28
2024-12-28
2024-12-27
2024-12-30
2024-12-27
2024-12-30