El sistema de cifrado de cookies que Google introducido en el navegador Chrome hace unos meses pueden evitarse fácilmente, advierten los expertos.
De hecho, un investigador de seguridad publicó recientemente una nueva herramienta que hace precisamente eso.
En julio de 2024, Google lanzó Chrome 127, una nueva versión de Chrome navegador que venía con cifrado vinculado a la aplicación (App-Bound). Se suponía que la nueva característica serviría como mecanismo de protección, cifrando las cookies utilizando un servicio de Windows que se ejecuta con privilegios de SISTEMA. Se suponía que la herramienta evitaría que el malware de robo de información capturara información confidencial almacenada en el navegador, como credenciales de inicio de sesión, cookies de sesión y más.
Se necesitan mayores privilegios
“Debido a que el servicio App-Bound se ejecuta con privilegios del sistema, los atacantes necesitan hacer más que simplemente convencer a un usuario para que ejecute una aplicación maliciosa”, dijo Google en ese momento. “Ahora, el malware tiene que obtener privilegios del sistema o inyectar código en Chrome, algo que el software legítimo no debería hacer”.
Pero el éxito de la nueva función duró poco. A finales de septiembre, informamos que varios ladrones de información ya podían solucionar esta función, incluidos Lumma Stealer, StealC y muchos otros.
Google respondió diciendo que era lo esperado y agregó que estaba feliz de que el cambio forzara un cambio en el comportamiento de los atacantes.
“Esto coincide con el nuevo comportamiento que hemos visto. Seguimos trabajando con proveedores de sistemas operativos y antivirus para intentar detectar de manera más confiable estos nuevos tipos de ataques, además de continuar reforzando las defensas para mejorar la protección contra los ladrones de información para nuestros usuarios”.
Ahora, el investigador de seguridad Alexander Hagenah creó y compartió una herramienta en GitHub que llamó 'Chrome-App-Bound-Encryption-Decryption' que hace lo mismo que estos ladrones de información. pitidocomputadora informes.
“Esta herramienta descifra las claves cifradas vinculadas a aplicaciones almacenadas en el archivo de estado local de Chrome, utilizando el servicio IElevator interno basado en COM de Chrome”, se lee en la página del proyecto. “La herramienta proporciona una forma de recuperar y descifrar estas claves, que Chrome protege mediante App-Bound Encryption (ABE) para evitar el acceso no autorizado a datos seguros como cookies (y potencialmente contraseñas e información de pago en el futuro)”.
Al comentar todo lo anterior, Google básicamente dijo que estaba satisfecho, ya que los delincuentes ahora necesitan mayores privilegios para llevar a cabo los ataques:
“Este código (el de xaitax) requiere privilegios de administrador, lo que demuestra que hemos elevado con éxito la cantidad de acceso necesaria para llevar a cabo con éxito este tipo de ataque”, dijo Google.
A través de pitidocomputadora