Theo chia sẻ của kỹ sư phần mềm Will Harris, Chrome hiện đang sử dụng các kỹ thuật bảo mật tốt nhất do mỗi hệ điều hành cung cấp để bảo vệ dữ liệu nhạy cảm như cookie và mật khẩu, như: Dịch vụ Keychain trên macOS, kwallet hoặc gnome-libsecret trên Linux và Data Protection API (DPAPI) trên Windows.
Mặc dù DPAPI có thể bảo vệ dữ liệu ở trạng thái không hoạt động khỏi các cuộc tấn công Cold Boot (một kiểu tấn công kênh kề) hoặc từ những người dùng khác trên máy tính Windows, nhưng DPAPI không bảo vệ khỏi các công cụ hoặc tập lệnh độc hại được thiết kế để thực thi mã với tư cách là người dùng đã đăng nhập, đây chính là điểm yếu mà các phần mềm đánh cắp thông tin có thể khai thác.
Harris cho biết: “Trong phiên bản Chrome 127, chúng tôi giới thiệu một biện pháp cải thiện khả năng bảo mật của DPAPI bằng cách cung cấp tính năng App-Bound Encryption. Thay vì cho phép bất kỳ ứng dụng nào chạy dưới dạng người dùng đã đăng nhập truy cập vào dữ liệu này, Chrome hiện có thể mã hóa dữ liệu được liên kết với định danh của ứng dụng, tương tự như cách Keychain hoạt động trên macOS”.
App-Bound Encryption dựa vào một dịch vụ đặc quyền trên Windows để xác minh danh tính của ứng dụng yêu cầu, nó sẽ mã hóa định danh ứng dụng vào dữ liệu đã được mã hóa, sau đó xác minh rằng dữ liệu này hợp lệ khi giải mã. Nếu một ứng dụng khác trên hệ thống cố gắng giải mã cùng một dữ liệu, ứng dụng đó sẽ không thành công.
Vì dịch vụ này thực thi với đặc quyền hệ thống, nên kẻ tấn công cũng cần phải có được quyền SYSTEM hoặc đưa mã vào một ứng dụng như Chrome, đây không phải là hành động thông thường hoặc hợp pháp. Điều này khiến hành động của chúng trở nên đáng ngờ hơn đối với chương trình anti-virus và có nhiều khả năng bị phát hiện hơn.
Tính năng App-Bound Encryption trên Google Chrome
Google cho biết, tính năng mới sẽ được mở rộng sang dữ liệu thanh toán, mật khẩu và các mã thông báo xác thực khác để bảo vệ tốt hơn dữ liệu nhạy cảm của người dùng trước các cuộc tấn công phần mềm độc hại đánh cắp thông tin.
App-Bound Encryption là một trong những tính năng gần đây được Google phát triển để tăng cường khả năng bảo vệ dữ liệu người dùng, chẳng hạn như Device Bound Session Credentials (DBSC) - một tính năng giúp bảo vệ người dùng Chrome khỏi nguy cơ bị đánh cắp cookie. DBSC liên kết các phiên xác thực với thiết bị cụ thể, khiến cho việc sử dụng cookie bị đánh cắp trở nên vô nghĩa.
Trong bối cảnh phần mềm độc hại liên tục phát triển cả về quy mô lẫn mức độ tinh vi, chúng tôi mong muốn tiếp tục hợp tác với những các chuyên gia trong cộng đồng bảo mật để cải thiện khả năng phát hiện và tăng cường bảo vệ hệ điều hành”, Harris chia sẻ.
Hồng Đạt
(Tổng hợp)
09:00 | 17/09/2024
14:00 | 23/05/2024
10:00 | 19/08/2024
10:00 | 10/11/2023
13:00 | 14/02/2025
15:00 | 12/09/2024
15:00 | 24/10/2023
10:00 | 28/11/2024
15:00 | 23/01/2025
Ngày 16/01, tại Hội thảo Phát triển Trung tâm tài chính quốc tế tại Việt Nam tổ chức tại TP Đà Nẵng, Uỷ ban Nhân dân (UBND) TP Đà Nẵng cùng Hiệp hội Blockchain Việt Nam (VBA) đã ký Hợp tác Phát triển Trung tâm tài chính quốc tế tại TP Đà Nẵng.
12:00 | 23/12/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa cảnh báo về hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Windows Kernel và Adobe ColdFusion, với mã định danh là CVE-2024-35250 và CVE-2024-20767.
10:00 | 19/11/2024
Không chỉ là bản đồ chỉ đường, Google Maps nay trở thành "cẩm nang vạn năng" với sự tích hợp của AI Gemini, cho phép người dùng đặt câu hỏi và nhận thông tin chi tiết về mọi địa điểm, từ quán ăn, cửa hàng đến địa danh nổi tiếng.
08:00 | 15/11/2024
Microsoft vừa chính thức "tuyên chiến" với Google, cáo buộc đối thủ dàn dựng các chiến dịch bôi nhọ nhằm hạ uy tín hãng tại châu Âu. Vụ việc làm gia tăng căng thẳng giữa hai "gã khổng lồ" trong cuộc đua thống trị thị trường công nghệ.
TikTok tiếp tục khẳng định vị thế trên thị trường công nghệ với dự án đầu tư gần 3,8 tỷ USD cho trung tâm dữ liệu tại Thái Lan. Động thái này diễn ra trong bối cảnh hàng loạt "ông lớn" công nghệ toàn cầu cũng đang đổ xô vào xây dựng các dự án điện toán đám mây tại xứ sở chùa Vàng.
10:00 | 14/02/2025