Theo chia sẻ của kỹ sư phần mềm Will Harris, Chrome hiện đang sử dụng các kỹ thuật bảo mật tốt nhất do mỗi hệ điều hành cung cấp để bảo vệ dữ liệu nhạy cảm như cookie và mật khẩu, như: Dịch vụ Keychain trên macOS, kwallet hoặc gnome-libsecret trên Linux và Data Protection API (DPAPI) trên Windows.

Mặc dù DPAPI có thể bảo vệ dữ liệu ở trạng thái không hoạt động khỏi các cuộc tấn công Cold Boot (một kiểu tấn công kênh kề) hoặc từ những người dùng khác trên máy tính Windows, nhưng DPAPI không bảo vệ khỏi các công cụ hoặc tập lệnh độc hại được thiết kế để thực thi mã với tư cách là người dùng đã đăng nhập, đây chính là điểm yếu mà các phần mềm đánh cắp thông tin có thể khai thác.

Harris cho biết: “Trong phiên bản Chrome 127, chúng tôi giới thiệu một biện pháp cải thiện khả năng bảo mật của DPAPI bằng cách cung cấp tính năng App-Bound Encryption. Thay vì cho phép bất kỳ ứng dụng nào chạy dưới dạng người dùng đã đăng nhập truy cập vào dữ liệu này, Chrome hiện có thể mã hóa dữ liệu được liên kết với định danh của ứng dụng, tương tự như cách Keychain hoạt động trên macOS”.

App-Bound Encryption dựa vào một dịch vụ đặc quyền trên Windows để xác minh danh tính của ứng dụng yêu cầu, nó sẽ mã hóa định danh ứng dụng vào dữ liệu đã được mã hóa, sau đó xác minh rằng dữ liệu này hợp lệ khi giải mã. Nếu một ứng dụng khác trên hệ thống cố gắng giải mã cùng một dữ liệu, ứng dụng đó sẽ không thành công.

Vì dịch vụ này thực thi với đặc quyền hệ thống, nên kẻ tấn công cũng cần phải có được quyền SYSTEM hoặc đưa mã vào một ứng dụng như Chrome, đây không phải là hành động thông thường hoặc hợp pháp. Điều này khiến hành động của chúng trở nên đáng ngờ hơn đối với chương trình anti-virus và có nhiều khả năng bị phát hiện hơn.

Tính năng App-Bound Encryption trên Google Chrome

Google cho biết, tính năng mới sẽ được mở rộng sang dữ liệu thanh toán, mật khẩu và các mã thông báo xác thực khác để bảo vệ tốt hơn dữ liệu nhạy cảm của người dùng trước các cuộc tấn công phần mềm độc hại đánh cắp thông tin.

App-Bound Encryption là một trong những tính năng gần đây được Google phát triển để tăng cường khả năng bảo vệ dữ liệu người dùng, chẳng hạn như Device Bound Session Credentials (DBSC) - một tính năng giúp bảo vệ người dùng Chrome khỏi nguy cơ bị đánh cắp cookie. DBSC liên kết các phiên xác thực với thiết bị cụ thể, khiến cho việc sử dụng cookie bị đánh cắp trở nên vô nghĩa.

Trong bối cảnh phần mềm độc hại liên tục phát triển cả về quy mô lẫn mức độ tinh vi, chúng tôi mong muốn tiếp tục hợp tác với những các chuyên gia trong cộng đồng bảo mật để cải thiện khả năng phát hiện và tăng cường bảo vệ hệ điều hành”, Harris chia sẻ.