In pochi mesi, il sistema di crittografia dei cookie lanciato da Google per il browser Chrome si è dimostrato meno sicuro di quanto ci si aspettasse. Diverse voci autorevoli nel settore della sicurezza informatica hanno sollevato dubbi sull’efficacia della tecnologia “Application-Bound Encryption,” introdotta a luglio 2024 con il rilascio di Chrome 127. Questa misura di sicurezza era pensata per contrastare i malware “infostealer,” che rubano informazioni sensibili come credenziali e cookie memorizzati.
Chrome poco sicuro: Google minimizza, ma lavora a nuove soluzioni
L’App-Bound Encryption di Chrome sfrutta un servizio Windows con privilegi di sistema per proteggere i dati degli utenti. Per aggirarlo, un attacco malevolo richiederebbe infatti una notevole escalation di privilegi, ben oltre la semplice esecuzione di codice non autorizzato. Nonostante queste precauzioni, la nuova misura di Google è stata violata in tempi rapidi. Già a settembre, diversi malware come Lumma Stealer e StealC hanno trovato il modo di bypassare le protezioni del sistema. Google, da parte sua, non sembra particolarmente turbata. Considerando questa vulnerabilità parte del naturale ciclo di innovazione e adattamento tra difensori e hacker.
A complicare la situazione, un esperto di sicurezza informatica, Alexander Hagenah, ha pubblicato su GitHub un tool, “Chrome-App-Bound-Encryption-Decryption,” capace di decifrare i cookie protetti da Chrome. Questo strumento, come riportato da BleepingComputer, sfrutta il servizio IElevator di Chrome, basato su COM. Al fine di aggirare la crittografia dei cookie. Con tale tecnica, Hagenah ha dimostrato che è possibile accedere a dati sensibili degli utenti, mettendo in luce la fragilità del sistema appena introdotto da Google.
Di fronte a questa nuova minaccia, il colosso di Mountain View ha ribadito che l’App-Bound Encryption sta svolgendo il compito per cui è stata progettata. Ovvero aggiungere uno strato di sicurezza extra. Secondo l’azienda, il sistema costringe infatti i cyber criminali a sviluppare strategie più complesse. Nel frattempo, Google ha dichiarato di collaborare con produttori di sistemi operativi e antivirus per identificare e contrastare questi attacchi più sofisticati. In più, Google ha sottolineato che la maggior parte degli exploit recenti funziona solo se l’attaccante riesce ad ottenere privilegi amministrativi sul dispositivo. Con questa dichiarazione, l’ azienda ha voluto rafforzare l’idea che, nonostante le criticità, il nuovo livello di sicurezza rappresenta comunque un deterrente efficace.