En juillet, Google a introduit le chiffrement lié aux applications (App-Bound) (Chrome 127), un nouveau mécanisme de protection qui chiffre les cookies à l’aide d’un service Windows exécuté avec des privilèges SYSTEM.

L’objectif était de protéger les informations sensibles des logiciels malveillants de vol d’informations, qui s’exécutent avec les autorisations de l’utilisateur connecté, ce qui rend impossible le décryptage des cookies volés sans obtenir au préalable des privilèges SYSTEM et déclencher potentiellement des alarmes dans le logiciel de sécurité.

« Étant donné que le service App-Bound s’exécute avec des privilèges système, les attaquants doivent faire plus que simplement inciter un utilisateur à exécuter une application malveillante », a expliqué Google en juillet.

« Désormais, le logiciel malveillant doit obtenir des privilèges système ou injecter du code dans Chrome, ce que les logiciels légitimes ne devraient pas faire. »

Cependant, en septembre, plusieurs voleurs d’informations ont trouvé des moyens de contourner la nouvelle fonctionnalité de sécurité et de fournir à leurs clients cybercriminels la possibilité de voler et de décrypter à nouveau des informations sensibles de Google Chrome.

Google a répondu en disant que c’était prévu et a ajouté qu’il était heureux que le changement ait forcé un changement de comportement des attaquants.

« Cela correspond au nouveau comportement que nous avons observé. Nous continuons de travailler avec les fournisseurs de systèmes d’exploitation et d’antivirus pour essayer de détecter de manière plus fiable ces nouveaux types d’attaques, tout en continuant à renforcer les défenses pour améliorer la protection contre les voleurs d’informations pour nos utilisateurs. »

Aujourd’hui, le chercheur en sécurité Alexander Hagenah a créé et partagé sur GitHub un outil qu’il a appelé « Chrome-App-Bound-Encryption-Decryption » qui fait la même chose que ces voleurs d’informations, rapporte BleepingComputer.

« Cet outil décrypte les clés chiffrées liées aux applications stockées dans le fichier d’état local de Chrome, en utilisant le service IElevator interne basé sur COM de Chrome », peut-on lire sur la page du projet. « L’outil fournit un moyen de récupérer et de décrypter ces clés, que Chrome protège via App-Bound Encryption (ABE) pour empêcher tout accès non autorisé à des données sécurisées comme les cookies (et potentiellement les mots de passe et les informations de paiement à l’avenir). »

Google a déclaré être satisfait de tout ce qui précède, car les escrocs ont désormais besoin de privilèges plus élevés pour mener à bien leurs attaques :

« Ce code [celui de xaitax] nécessite des privilèges d’administrateur, ce qui montre que nous avons réussi à augmenter le niveau d’accès requis pour mener à bien ce type d’attaque », a déclaré Google.