Theo chia sẻ của kỹ sư phần mềm Will Harris, Chrome hiện đang sử dụng các kỹ thuật bảo mật tốt nhất do mỗi hệ điều hành cung cấp để bảo vệ dữ liệu nhạy cảm như cookie và mật khẩu, như: Dịch vụ Keychain trên macOS, kwallet hoặc gnome-libsecret trên Linux và Data Protection API (DPAPI) trên Windows.
Mặc dù DPAPI có thể bảo vệ dữ liệu ở trạng thái không hoạt động khỏi các cuộc tấn công Cold Boot (một kiểu tấn công kênh kề) hoặc từ những người dùng khác trên máy tính Windows, nhưng DPAPI không bảo vệ khỏi các công cụ hoặc tập lệnh độc hại được thiết kế để thực thi mã với tư cách là người dùng đã đăng nhập, đây chính là điểm yếu mà các phần mềm đánh cắp thông tin có thể khai thác.
Harris cho biết: “Trong phiên bản Chrome 127, chúng tôi giới thiệu một biện pháp cải thiện khả năng bảo mật của DPAPI bằng cách cung cấp tính năng App-Bound Encryption. Thay vì cho phép bất kỳ ứng dụng nào chạy dưới dạng người dùng đã đăng nhập truy cập vào dữ liệu này, Chrome hiện có thể mã hóa dữ liệu được liên kết với định danh của ứng dụng, tương tự như cách Keychain hoạt động trên macOS”.
App-Bound Encryption dựa vào một dịch vụ đặc quyền trên Windows để xác minh danh tính của ứng dụng yêu cầu, nó sẽ mã hóa định danh ứng dụng vào dữ liệu đã được mã hóa, sau đó xác minh rằng dữ liệu này hợp lệ khi giải mã. Nếu một ứng dụng khác trên hệ thống cố gắng giải mã cùng một dữ liệu, ứng dụng đó sẽ không thành công.
Vì dịch vụ này thực thi với đặc quyền hệ thống, nên kẻ tấn công cũng cần phải có được quyền SYSTEM hoặc đưa mã vào một ứng dụng như Chrome, đây không phải là hành động thông thường hoặc hợp pháp. Điều này khiến hành động của chúng trở nên đáng ngờ hơn đối với chương trình anti-virus và có nhiều khả năng bị phát hiện hơn.
Tính năng App-Bound Encryption trên Google Chrome
Google cho biết, tính năng mới sẽ được mở rộng sang dữ liệu thanh toán, mật khẩu và các mã thông báo xác thực khác để bảo vệ tốt hơn dữ liệu nhạy cảm của người dùng trước các cuộc tấn công phần mềm độc hại đánh cắp thông tin.
App-Bound Encryption là một trong những tính năng gần đây được Google phát triển để tăng cường khả năng bảo vệ dữ liệu người dùng, chẳng hạn như Device Bound Session Credentials (DBSC) - một tính năng giúp bảo vệ người dùng Chrome khỏi nguy cơ bị đánh cắp cookie. DBSC liên kết các phiên xác thực với thiết bị cụ thể, khiến cho việc sử dụng cookie bị đánh cắp trở nên vô nghĩa.
Trong bối cảnh phần mềm độc hại liên tục phát triển cả về quy mô lẫn mức độ tinh vi, chúng tôi mong muốn tiếp tục hợp tác với những các chuyên gia trong cộng đồng bảo mật để cải thiện khả năng phát hiện và tăng cường bảo vệ hệ điều hành”, Harris chia sẻ.
Hồng Đạt
(Tổng hợp)
09:00 | 17/09/2024
14:00 | 23/05/2024
10:00 | 19/08/2024
10:00 | 10/11/2023
15:00 | 12/09/2024
15:00 | 24/10/2023
10:00 | 28/11/2024
15:00 | 25/12/2024
Ngày 20/12/2024, tại TP. Hồ Chí Minh, một trong những sự kiện công nghệ được mong đợi nhất trong năm HPT D-Day 2024 với chủ đề “Hợp tác hướng đến tương lai” đã diễn ra thành công tốt đẹp.
10:00 | 12/12/2024
Bắt đầu từ năm 2025, Samsung CryptoCore - môđun mã hóa của Samsung Electronics sẽ được tích hợp hoàn toàn vào hệ điều hành Smart TV Tizen OS của Samsung, nhằm tăng cường bảo mật cho các sản phẩm chính như TV, màn hình và bảng hiệu kỹ thuật số.
10:00 | 11/12/2024
Lô hàng chip AI tiên tiến của Mỹ đã được cấp phép xuất khẩu sang UAE. Cơ sở tiếp nhận do Microsoft điều hành hứa hẹn sẽ thúc đẩy mạnh mẽ ứng dụng công nghệ AI tại quốc gia này.
13:00 | 25/10/2024
Báo cáo của Kaspersky về Bối cảnh an ninh mạng cho các hệ thống điều khiển công nghiệp (ICS) trong quý 2 năm 2024 cho thấy các cuộc tấn công bằng mã độc tống tiền tăng 20% so với quý trước. Báo cáo nhấn mạnh mối đe dọa ngày càng gia tăng đối với các lĩnh vực cơ sở hạ tầng quan trọng trên toàn thế giới, trong đó mã độc tống tiền (ransomware) và phần mềm gián điệp gây ra những rủi ro đáng kể nhất.
Vào tháng 11/2024, Mi2 chính thức trở thành nhà phân phối độc quyền các sản phẩm của Blancco tại Việt Nam. Là công ty dẫn đầu toàn cầu về giải pháp xóa dữ liệu an toàn, Blancco mang đến cho các tổ chức/doanh nghiệp giải pháp bảo mật vượt trội, đáp ứng mọi tiêu chuẩn quốc tế về tẩy xoá dữ liệu.
13:00 | 13/01/2025