/https://www.ilsoftware.it/app/uploads/2024/10/cookie-chrome-rischio-furto-identita.jpg "Attenzione al furto dei cookie su Chrome: ecco come può avvenire")
Con la pubblicazione di Chrome 127, a luglio 2024, Google ha introdotto nel suo browser Web un meccanismo di sicurezza volto a proteggere dati personali e informazioni riservate con maggiore efficacia. La crittografia App-Bound di Google Chrome provvede a cifrare il contenuto dei cookie memorizzati sui sistemi Windows mediante un servizio locale che opera con privilegi SYSTEM. L’obiettivo è “complicare la vita” agli sviluppatori malware che non possono ad esempio porre in essere attacchi di cookie o session hijacking senza prima acquisire diritti più elevati.
L’approccio scelto dall’azienda di Mountain View ha costretto i creatori di malware a ricorrere a metodi di attacco più avanzati. Già a settembre 2024, tuttavia, molti infostealer (malware appositamente congegnati per rubare credenziali di autenticazione, cookie di sessione e altri dati personali delle vittime) avevano già trovato modi per aggirare la nuova difesa integrata in Chrome.
Pubblicato uno strumento che aggira le difese di Chrome e ruba il contenuto dei cookie
Come abbiamo accennato in precedenza, custodire in sicurezza il contenuto dei cookie è fondamentale. Molti di essi, infatti, contengono token di autenticazione ricevuti dopo l’avvenuto accesso su una piattaforma online. Rubando i cookie memorizzati in un dispositivo, gli aggressori non devono neppure conoscere nomi utente e password: bastano questi elementi per assumere l’identità altrui.
Il ricercatore Alexander Hagenah ha pubblicato su GitHub il suo strumento chiamato Chrome App-Bound Encryption Decryption. Si tratta di un software open source che riesce a decodificare le chiavi crittografiche, memorizzate nel percorso %localappdata%\Google\Chrome\User Data\Local State e leggere il contenuto dell’archivio di cookie protetti con la funzionalità App-Bound.
Non si tratta di un bella notizia perché Google aveva in programma, in futuro, di proteggere con App-Bound anche il contenuto del password manager e le informazioni di pagamento. In un altro articolo abbiamo visto, infatti, quanto sia semplice trovare le password in Windows ed estrarre quelle salvate nel password manager del browser Web.
I commenti di Google
A settembre 2024, quando sono stati scoperti i primi infostealer in grado di superare le difese di App-Bound, i portavoce Google commentarono che l’azienda è ben consapevole del gioco tra gatto e topo. La società guidata da Sundar Pichai è ben consapevole degli sforzi che i malware-writer stanno riponendo nel superare le protezioni implementate in Chrome come in altri software.
Google aveva precisato di continuare a collaborare con i fornitori di sistemi operativi e antivirus per cercare di rilevare in modo più affidabile i nuovi tipi di attacchi, oltre a continuare a rafforzare le difese per migliorare la protezione contro gli infostealer.
La posizione degli esperti di sicurezza
Secondo alcuni analisti, il tool Chrome App-Bound Encryption Decryption messo a punto da Hagenah non fa altro che sfruttare le stesse tecniche adottate dai primi infostealer. La ricercatrice Russian Panda, ad esempio, osserva che il quadro è già cambiato (in peggio): gli sviluppatori malware riescono ad effettuare una decodifica indiretta dei cookie di Chrome senza interagire direttamente con il servizio Elevation del browser.
L’interfaccia IElevator di Chrome è un componente utilizzato per interagire con i meccanismi di acquisizione dei privilegi più elevati in Chrome. Utilizzando questa interfaccia, è possibile accedere e manipolare i cookie memorizzati dal browser. Ed è esattamente quello che fa Chrome App-Bound Encryption Decryption. Tuttavia, l’uso dell’interfaccia IElevator può risultare “rumoroso” e facilmente rilevabile, il che implica che le sue attività possono essere monitorate e tracciate da strumenti di sicurezza o da software di rilevamento delle intrusioni. Per questo, Russian Panda dice che i malware-writer sono già passati al livello due.
Massima attenzione, quindi, ad applicare tempestivamente gli aggiornamenti di Chrome e quelli delle suite per l’ufficio (ad esempio Microsoft Office) evitando allo stesso tempo l’esecuzione di applicazioni provenienti da fonti non affidabili. Anche le vulnerabilità scoperte a livello di sistema operativo possono essere sfruttate per sferrare attacchi mirati e rubare le informazioni sui sistemi degli utenti.
Abbiamo spiegato cosa succede se non si installano gli aggiornamenti di Windows: è quindi bene, di volta in volta, dopo aver atteso qualche giorno, installare le correzioni più adatte per ridurre la propria superficie d’attacco.
Credit immagine in apertura: iStock.com – Pla2na
/https://www.ilsoftware.it/app/uploads/2024/11/1-33.jpg "Apple: stop alla sincronizzazione di Safari su iCloud per alcuni dispositivi più datati")
/https://www.ilsoftware.it/app/uploads/2024/01/arc-search-browser-IA.jpg "Il browser Arc Search è disponibile per tutti gli utenti Android")
/https://www.ilsoftware.it/app/uploads/2024/11/chrome-immagine-copiata-link-copiato.jpg "Come rimuovere immagine copiata e link copiato in Google Chrome")
/https://www.ilsoftware.it/app/uploads/2023/11/5-65.jpg "Rilasciato Google Chrome 131: margini di stampa personalizzabili e non solo")