ویژگی رمزگذاری محدود به اپلیکیشن (app-bound) در مرورگر کروم هک شد!

ویل هریس، مهندس نرم افزار گوگل کروم، سی‌اُم جولای ۲۰۲۴ طی بیانیه‌ای اعلام کرد که به منظور محافظت بهتر از کوکی‌ها در سیستم‌های ویندوز و حفاظت بهبود یافته در برابر حملات بدافزارهای رباینده اطلاعات (infostealer)، ویژگی رمزگذاری محدود به اپلیکیشن (app-bound) به مرورگر کروم (Chrome 127) اضافه خواهد شد.

این قابلیتِ حفاظتیِ بهبود یافته منجر به حافظت بهتر از گذرواژه‌ها، داده‌های پرداخت، توکن‌های احراز هویت و سایر داده‌های حساس کاربران در برابر حملات بدافزارهای رباینده اطلاعات می‌شود.

به نظر می‌رسید که رمزگذاری محدود به پلیکیشن هزینه سرقت داده‌ها را برای مهاجمان افزایش داده و اقدامات آنها را در سیستم بسیار پر سر و صداتر خواهد کرد.

حال پس از گذشت حدود سه ماه، یک محقق امنیتی به نام الکساندر هاگنا ابزاری را برای دور زدن ویژگی رمزگذاری App-Bound گوگل و دسترسی به کوکی‌ها، استخراج توکن‌های احراز هویت و داده‌های لاگین ذخیره ‌شده از مرورگر وب کروم در گیت هاب منتشر کرده است. این ابزار “Chrome-App-Bound-Encryption-Decryption” نام دارد.

ویژگی رمزگذاری App-Bound در مرورگر کروم، کوکی‌ها را با استفاده از یک سرویس ویندوز که با سطح دسترسی SYSTEM اجرا می‌شود، رمزگذاری می‌کند.

همانطور که گفته شد، هدف از پیاده سازی این ویژگی، محافظت از اطلاعات حساس در برابر بدافزارهای رباینده اطلاعات (infostealer) است که با سطح دسترسی کاربر لاگین شده اجرا می‌شوند و امکان رمزگشایی کوکی‌های ربوده شده را بدون نیاز به سطح دسترسی SYSTEM ممکن می‌سازند.

از آنجایی که سرویس App-Bound با سطح دسترسی SYSTEM اجرا می‌شود، بدافزار باید چنین سطح دسترسی را به دست آورد و یا کد مخرب خود را به مرورگر کروم تزریق کند.

با این حال، تا ماه سپتامبر، چندین بدافزار رباینده اطلاعات راه‌هایی را برای دور زدن ویژگی امنیتی جدید پیدا کرده بودند و به هکرهایی که مشتری آنها بودند این امکان را ‌دادند که یک بار دیگر اطلاعات حساس مرورگر گوگل کروم را ربوده و رمزگشایی کنند.

این چالش بین توسعه دهندگان بدافزارهای رباینده اطلاعات و مهندسان همیشه وجود داشته است و آنها هیچگاه انتظار ندارند که مکانیزم‌های دفاعی آنها غیرقابل نفوذ و دور زدن باشند.

با این حال، الکساندر هاگنا، بیست و هفتم اکتبر ۲۰۲۴،  ابزار دور زدن رمزگذاری App-Bound خود را در GitHub بصورت عمومی منتشر کرد و کد منبع را به اشتراک گذاشت. این ابزار کلیدهای رمزگذاری شده App-Bound که در فایل Local State Chrome ذخیره شده‌اند را با استفاده از سرویس داخلی IElevator مبتنی بر COM کروم رمزگشایی می‌کند.

این ابزار راهی برای بازیابی و رمزگشایی این کلیدها فراهم می‌آورد که کروم از طریق رمزگذاری App-Bound ([1]ABE) از آنها محافظت می‌کند تا از دسترسی غیرمجاز به داده‌های ایمن مانند کوکی‌ها (و احتمالاً رمزهای عبور و اطلاعات پرداخت در آینده) جلوگیری به عمل آورد.

برای استفاده از این ابزار، کاربران باید فایل اجرایی را در فهرست راهنمای Google Chrome که معمولاً در C:\Program Files\Google\Chrome\Application قرار دارد، کپی کنند. این پوشه محافظت شده است، بنابراین کاربران باید دارای سطح دسترسی admin باشند تا بتوانند فایل اجرایی را در آن پوشه کپی کنند.

همانطور که گفته شد، آنچه که این ابزار به آنها دست می‌یابد همان چیزی است که قبلا توسط برخی infostealerها نیز حاصل شده است اما موضوع نگران کننده، در دسترس بودن عمومی این ابزار است که خطرات و تهدیدات زیادی را متوجه کاربران کروم که داده‌های حساس خود را در مرورگر ذخیره می‌کنند، خواهد کرد. از این رو، انتظار می‌رود گوگل هر چه سریع‌تر راهکار مقابله با این تهدید را یافته و منتشر کند.

[1] App-Bound Encryption

منابع