ویل هریس، مهندس نرم افزار گوگل کروم، سیاُم جولای ۲۰۲۴ طی بیانیهای اعلام کرد که به منظور محافظت بهتر از کوکیها در سیستمهای ویندوز و حفاظت بهبود یافته در برابر حملات بدافزارهای رباینده اطلاعات (infostealer)، ویژگی رمزگذاری محدود به اپلیکیشن (app-bound) به مرورگر کروم (Chrome 127) اضافه خواهد شد.
این قابلیتِ حفاظتیِ بهبود یافته منجر به حافظت بهتر از گذرواژهها، دادههای پرداخت، توکنهای احراز هویت و سایر دادههای حساس کاربران در برابر حملات بدافزارهای رباینده اطلاعات میشود.
به نظر میرسید که رمزگذاری محدود به پلیکیشن هزینه سرقت دادهها را برای مهاجمان افزایش داده و اقدامات آنها را در سیستم بسیار پر سر و صداتر خواهد کرد.
حال پس از گذشت حدود سه ماه، یک محقق امنیتی به نام الکساندر هاگنا ابزاری را برای دور زدن ویژگی رمزگذاری App-Bound گوگل و دسترسی به کوکیها، استخراج توکنهای احراز هویت و دادههای لاگین ذخیره شده از مرورگر وب کروم در گیت هاب منتشر کرده است. این ابزار “Chrome-App-Bound-Encryption-Decryption” نام دارد.
ویژگی رمزگذاری App-Bound در مرورگر کروم، کوکیها را با استفاده از یک سرویس ویندوز که با سطح دسترسی SYSTEM اجرا میشود، رمزگذاری میکند.
همانطور که گفته شد، هدف از پیاده سازی این ویژگی، محافظت از اطلاعات حساس در برابر بدافزارهای رباینده اطلاعات (infostealer) است که با سطح دسترسی کاربر لاگین شده اجرا میشوند و امکان رمزگشایی کوکیهای ربوده شده را بدون نیاز به سطح دسترسی SYSTEM ممکن میسازند.
از آنجایی که سرویس App-Bound با سطح دسترسی SYSTEM اجرا میشود، بدافزار باید چنین سطح دسترسی را به دست آورد و یا کد مخرب خود را به مرورگر کروم تزریق کند.
با این حال، تا ماه سپتامبر، چندین بدافزار رباینده اطلاعات راههایی را برای دور زدن ویژگی امنیتی جدید پیدا کرده بودند و به هکرهایی که مشتری آنها بودند این امکان را دادند که یک بار دیگر اطلاعات حساس مرورگر گوگل کروم را ربوده و رمزگشایی کنند.
این چالش بین توسعه دهندگان بدافزارهای رباینده اطلاعات و مهندسان همیشه وجود داشته است و آنها هیچگاه انتظار ندارند که مکانیزمهای دفاعی آنها غیرقابل نفوذ و دور زدن باشند.
با این حال، الکساندر هاگنا، بیست و هفتم اکتبر ۲۰۲۴، ابزار دور زدن رمزگذاری App-Bound خود را در GitHub بصورت عمومی منتشر کرد و کد منبع را به اشتراک گذاشت. این ابزار کلیدهای رمزگذاری شده App-Bound که در فایل Local State Chrome ذخیره شدهاند را با استفاده از سرویس داخلی IElevator مبتنی بر COM کروم رمزگشایی میکند.
این ابزار راهی برای بازیابی و رمزگشایی این کلیدها فراهم میآورد که کروم از طریق رمزگذاری App-Bound ([1]ABE) از آنها محافظت میکند تا از دسترسی غیرمجاز به دادههای ایمن مانند کوکیها (و احتمالاً رمزهای عبور و اطلاعات پرداخت در آینده) جلوگیری به عمل آورد.
برای استفاده از این ابزار، کاربران باید فایل اجرایی را در فهرست راهنمای Google Chrome که معمولاً در C:\Program Files\Google\Chrome\Application قرار دارد، کپی کنند. این پوشه محافظت شده است، بنابراین کاربران باید دارای سطح دسترسی admin باشند تا بتوانند فایل اجرایی را در آن پوشه کپی کنند.
همانطور که گفته شد، آنچه که این ابزار به آنها دست مییابد همان چیزی است که قبلا توسط برخی infostealerها نیز حاصل شده است اما موضوع نگران کننده، در دسترس بودن عمومی این ابزار است که خطرات و تهدیدات زیادی را متوجه کاربران کروم که دادههای حساس خود را در مرورگر ذخیره میکنند، خواهد کرد. از این رو، انتظار میرود گوگل هر چه سریعتر راهکار مقابله با این تهدید را یافته و منتشر کند.
[1] App-Bound Encryption