2024年7月,谷歌发布了Chrome 127版本,引入了App-Bound加密功能。该功能旨在通过使用具有SYSTEM权限的Windows服务来加密Cookie,以防止信息窃取恶意软件(infostealing malware)窃取浏览器中存储的敏感信息,如登录凭证、会话Cookie等。谷歌当时表示,由于App-Bound服务运行在系统权限下,攻击者需要做的不仅仅是诱使用户运行恶意应用,还需要获得系统权限或将代码注入Chrome,这是合法软件不应该做的。
然而,这一安全特性的成功并未持续太久。到了9月下旬,已有多个信息窃取软件,包括Lumma Stealer、StealC等,被发现能够绕过这一安全特性。另外,网络安全研究员Alexander Hagenah还在GitHub上构建并分享了一个名为“Chrome-App-Bound-Encryption-Decryption”的工具,该工具能够像这些信息窃取软件一样,绕过Chrome的App-Bound加密。据BleepingComputer报道,该工具利用Chrome内部基于COM的IElevator服务,解密存储在Chrome的Local State文件中的App-Bound加密密钥。该工具提供了检索和解密这些密钥的方法,这些密钥被Chrome通过App-Bound Encryption(ABE)保护,以防止未经授权访问安全数据,如Cookie(以及未来可能的密码和支付信息)。
谷歌对此表示,由于攻击者现在需要更高的权限来执行攻击,这表明黑客成功提高了成功执行此类攻击所需的访问权限。他们将继续与操作系统和防病毒软件供应商合作,以更可靠地检测这些新型攻击行为,并持续加强防御措施,以提高对用户的信息窃取防护。
参考链接:
https://www.techradar.com/pro/security/google-chrome-cookie-encryption-system-can-be-easily-bypassed-experts-warn
原文始发于微信公众号(白泽安全实验室):谷歌Chrome浏览器的Cookie加密系统被新型工具轻易绕过
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论