En sikkerhedsforsker har for nylig offentliggjort et nyt værktøj, der gør præcis det. I juli 2024 udgav Google Chrome 127, der var en ny version af browseren med en funktion kaldet Application-Bound (App-Bound)-kryptering.
Denne nye funktion skulle fungere som en beskyttelsesmekanisme, der krypterer cookies via en Windows-tjeneste, der kører med SYSTEM-rettigheder. Formålet var at forhindre, at malware kan stjæle følsomme oplysninger gemt i browseren, såsom loginoplysninger og sessionscookies.
"Da App-Bound-tjenesten kører med systemrettigheder, skal angribere gøre mere end blot at lokke en bruger til at køre en ondsindet app. Malwaren skal nu opnå systemrettigheder eller indsætte kode i Chrome, noget som legitim software ikke bør gøre," sagde Google på det tidspunkt.
Men systemets succes var kortvarig. Allerede i slutningen af september rapporterede flere medier, at flere typer malware, herunder Lumma Stealer og StealC, var i stand til at omgå funktionen. Google reagerede med at sige, at dette var forventet og udtrykte tilfredshed med, at ændringen havde tvunget angribere til at skifte adfærd.
"Dette matcher den nye adfærd, vi har set. Vi fortsætter samarbejdet med operativsystem- og antivirus-leverandører for mere pålideligt at opdage disse nye typer angreb, og vi arbejder videre på at styrke forsvaret mod infostealers for vores brugere," sagde Google.
Nu har sikkerhedsforsker Alexander Hagenah udviklet og delt et værktøj på GitHub kaldet 'Chrome-App-Bound-Encryption-Decryption', som gør det samme som disse infostealers, slrover BleepingComputer.
"Dette værktøj dekrypterer App-Bound-krypterede nøgler, der er gemt i Chromes Local State-fil, ved hjælp af Chromes interne COM-baserede IElevator-tjeneste," står der på projektets side.
"Værktøjet giver en metode til at hente og dekryptere disse nøgler, som Chrome beskytter via App-Bound Encryption (ABE) for at forhindre uautoriseret adgang til sikre data som cookies og muligvis også adgangskoder og betalingsoplysninger i fremtiden."
Google kommenterede på sagen og sagde, at de var tilfredse, eftersom kriminelle nu har brug for højere rettigheder for at udføre disse angreb:
"Dette kode [xaitax's] kræver admin-rettigheder, hvilket viser, at vi har formået at hæve det nødvendige adgangsniveau for at kunne udføre denne type angreb," udtalte Google.
