От защиты до уязвимости: App-Bound Encryption в Chrome оказался не так крепок

Специалист по кибербезопасности Александр Хагена опубликовал инструмент под названием Chrome-App-Bound-Encryption-Decryption, позволяющий обходить недавно внедренную Google систему шифрования Application-Bound (App-Bound) и извлекать сохраненные учетные данные пользователей из браузера Chrome.

В июле 2023 года компания Google представила механизм защиты App-Bound Encryption в версии Chrome 127. Система шифрует файлы cookies с помощью службы Windows, работающей с правами SYSTEM. Главная цель нововведения заключалась в защите конфиденциальной информации от инфостилеров, которые обычно функционируют с правами обычного пользователя. По задумке разработчиков, без получения привилегий SYSTEM вредоносное ПО не могло расшифровать украденные cookies.

Однако уже к сентябрю злоумышленники нашли способы обхода новой системы защиты. Представители Google тогда заявили BleepingComputer, что противостояние между разработчиками вредоносного ПО и инженерами компании было ожидаемым. В Google никогда не считали механизмы защиты полностью неуязвимыми, но рассматривали App-Bound как основу для создания более надежной системы безопасности.

Хагена разместил свой инструмент для обхода App-Bound на GitHub, сделав исходный код доступным для всех желающих. По словам разработчика, программа расшифровывает ключи App-Bound, хранящиеся в файле Local State браузера Chrome, используя внутренний COM-сервис IElevator.

Для работы инструмента необходимо скопировать исполняемый файл в директорию Google Chrome, обычно расположенную по адресу C:\Program Files\Google\Chrome\Application. Папка защищена, поэтому пользователям требуются права администратора. Специалисты отмечают, что получить административные привилегии достаточно просто, особенно для домашних пользователей Windows.

Исследователь g0njxa сообщил BleepingComputer, что опубликованный инструмент демонстрирует базовый метод, который большинство инфостилеров уже превзошли для кражи cookies из всех версий Google Chrome. Аналитик вредоносного ПО Russian Panda подтвердил, что метод Хагены похож на ранние способы обхода защиты, использовавшиеся после первоначального внедрения шифрования App-Bound.