A criptografia de cookies do Chrome parece ser fácil de quebrar, mas o Google diz que é intencional

Uma das atualizações do navegador Google Chrome no verão passado introduziu um sistema de criptografia de cookies projetado para proteger os dados do usuário. Mas em apenas alguns meses, tanto os especialistas em segurança cibernética quanto os invasores conseguiram contorná-lo. Mas o Google considera sua tarefa concluída.

Fonte da imagem: Growtika/unsplash.com

O recurso de criptografia de dados ABE (App-Bound Encryption) estreou em julho de 2024 com o lançamento do Chrome 127. A criptografia é realizada usando um serviço do Windows com privilégios de sistema. A ferramenta foi projetada para evitar que vírus roubem informações armazenadas no navegador: credenciais para fazer login em sites, cookies de sessão e muito mais. “Como o serviço App-Bound é executado com privilégios de sistema, os invasores precisarão fazer mais do que apenas persuadir um usuário a executar um aplicativo malicioso. Agora, o aplicativo malicioso deve obter privilégios de sistema ou injetar código no Chrome, o que software legítimo não deveria fazer”, explicou o Google na época.

No final de setembro, porém, soube-se que o malware para roubo de dados Lumma Stealer, StealC e muitos outros conseguiram contornar essa função. O Google respondeu que isso era esperado e que era bom que as mudanças no navegador forçassem os invasores a mudar seu comportamento. “Isso corresponde ao novo comportamento que estamos vendo. Continuamos a trabalhar com desenvolvedores de sistemas operacionais e antivírus para tentar detectar de forma mais confiável esses novos tipos de ataques, e também continuamos a tentar fortalecer a proteção contra roubo de informações de nossos usuários”, disse o Google.

Agora, o especialista em segurança cibernética Alexander Hagenah desenvolveu e publicou no GitHub uma ferramenta chamada Chrome-App-Bound-Encryption-Decryption, projetada para contornar os mecanismos de criptografia do Chrome – na descrição, o autor observou que a função desenvolvida pelo Google até agora protege apenas cookies, mas no futuro, poderá ser usado para proteger senhas e informações de pagamento. O Google também reagiu com calma ao surgimento do projeto. “Este código requer direitos administrativos, indicando que elevamos com sucesso os privilégios de acesso necessários para realizar este tipo de ataque com sucesso”, afirmou a empresa.