Nueva herramienta evita la protección contra robo de cookies de Chrome – Hacker

El experto en seguridad de la información Alexander Hagenah publicado Chrome-App-Bound-Encryption-Decryption es una herramienta disponible públicamente para eludir la nueva función de seguridad App-Bound Encryption de Chrome, que está diseñada para proteger datos confidenciales, incluidas las cookies.

Recuerde que la función de cifrado vinculado a aplicaciones fue presentado el verano pasado, con el lanzamiento de Chrome 127. Como dijeron los desarrolladores del navegador, está diseñado para cifrar cookies y contraseñas almacenadas utilizando un servicio de Windows que opera con privilegios del sistema. Es decir, esto evita que el malware que se ejecuta cuando un usuario ha iniciado sesión robe secretos almacenados en Chrome. De hecho, en teoría, para eludir dicha protección, el malware necesitará privilegios del sistema y no será posible obtenerlos sin que nadie se dé cuenta.

Una vez en línea empezó a hablar que el malware había aprendido a eludir App-Bound Encryption, los representantes de Google dijeron a los medios que esto era de esperar. La empresa no esperaba crear una protección “a prueba de balas”, y el cifrado App-Bound solo tenía como objetivo sentar las bases para la creación gradual de un sistema más confiable.

“Somos conscientes de que la nueva protección ha causado revuelo entre los desarrolladores de robo de información. Como hemos escrito en el blog, esperamos que esta protección cambie el comportamiento de los atacantes hacia métodos de ataque más visibles, incluida la inyección y el raspado de memoria. Esto es exactamente lo que estamos viendo ahora”, dijo Google en ese momento.

Ahora que Hagena ha presentado abiertamente su solución para evitar el cifrado vinculado a aplicaciones en GitHubCualquiera puede aprender y compilar esta herramienta.

“Esta herramienta descifra las claves de cifrado vinculadas a aplicaciones almacenadas en el archivo de estado local de Chrome utilizando el servicio IElevator interno basado en COM de Chrome”, afirma la descripción del proyecto. “La herramienta le permite extraer y descifrar las claves que Chrome protege con App-Bound Encryption para evitar el acceso a datos protegidos como cookies, contraseñas e información de pago”.

Según la publicación Computadora que suenaSegún cita un especialista en seguridad de la información conocido como g0njxa, la herramienta de Hagena utiliza un método básico de omisión de cifrado vinculado a aplicaciones que la mayoría de los ladrones de información ya han superado. Sin embargo, este método todavía funciona ya que los desarrolladores de Chrome aún no han lanzado parches.

Esta información también es confirmada por los analistas de eSentire, quienes dicen que el método de Hagena es similar a los primeros métodos para eludir la protección que los atacantes usaban cuando se acababa de introducir App-Bound Encryption.

«[Стилер] Lumma utilizó este método para crear una instancia de la interfaz Chrome IElevator a través de COM para acceder al servicio Chrome Elevation y descifrar las cookies, pero es bastante ruidoso y fácil de detectar. Ahora [хакеры] utilice el descifrado indirecto sin interactuar directamente con Chrome Elevation Service”, dice eSentire.

Los desarrolladores de Google dijeron a la publicación que no ven nada malo en el lanzamiento de dicha herramienta. Debido a que requiere derechos de administrador para operar, la compañía cree que ha “aumentado con éxito el nivel de acceso requerido para que este tipo de ataque sea efectivo”.