App-bound šifrovanie v prehliadači Chrome bolo prelomené. Hackeri o slabine už vedia, zneužívajú ju, hovorí bezpečnostný expert
Bezpečnostný analytik prelomil App-Bound šifrovane prehliadača Chrome, ktoré chráni súbory cookies. Zvládli to už aj hackeri, hovorí.
Bezpečnostný analytik vyvinul v rámci nového výskumu nástroj, ktorý dokáže obísť nový šifrovací mechanizmus Googlu a ukradnúť prihlasovacie údaje z cookies súborov v prehliadači Chrome, upozorňuje server bleepingcomputer.com.
Google nedávno implementoval do prehliadača Chrome takzvané App-bound šifrovanie, ktoré malo hackerom sťažiť prístup k súborom cookies užívateľov. Ako hovorí tvorca nového hackovacieho nástroja, táto technológia dokáže to, čo už zvládne niekoľko rôznych infostealerov, ktoré sa šíria v online priestore.
Bezpečnostný analytik vyvinul tento nástroj výhradne pre výskumné účely. Pozoruje však, že viacero kyberzločincov sa už naučilo podobné mechanizmy, ktorými v podstate dosiahnu rovnaký výsledok.
Šifrovanie cookies hackerom dlho neodolalo
Spoločnosť Google implementovala App-Bound šifrovanie do prehliadača Chrome v júli, v aktualizácii Chrome 127. Toto šifrovanie šifruje súbory cookies pomocou Windows procesu, ktorý má systémové privilégiá. Cieľom tejto technológie je chrániť citlivé užívateľské súbory pred infostealer malvérom. Služba to dokáže tak, že šifruje cookies s najvyššími povoleniami zariadenia užívateľa, na ktorom vznikli. Inými slovami povedané, na rozšifrovanie súborov cookies by potreboval malvér získať systémové povolenia konkrétneho zariadenia, čo už by vzbudilo pozornosť antivírového softvéru.
“App-Bound šifrovanie spôsobuje, že útočníci musia toho spraviť viac, ako len presvedčiť užívateľa, aby spustil škodlivý program,” vysvetľuje spoločnosť Google.
App-Bound šifrovanie vyšlo v júli tohto roku, no už v septembri sa našlo niekoľko infostealer malvérov, ktoré dokázali novú bezpečnostnú funkciu obísť a dostať sa opäť k citlivým dátam užívateľov. Spoločnosť Google opisuje súboj medzi vývojármi aplikácií a hackermi ako hru na mačku a myš. Na prelomenie ich “neprelomiteľnej” ochrany spoločnosť Google povedala, že nikdy nečakali, že ich bezpečnostné mechanizmy budú nepriestrelné.
Neprehliadni
Google ale dúfa, že App-Bound šifrovanie položilo základy, na ktorých postaví technologický gigant oveľa robustnejšiu formu ochrany.
Bezpečnostný analytik, ktorý vytvoril nástroj na prelomenie App-Bound šifrovania zdieľal svoj softvér verejne na platforme GitHub. Zverejnenie umožňuje komukoľvek učiť sa zo zdrojového kódu a vyvinúť efektívnu obranu. Zverejnenie zdrojového kódu ale nepredstavuje žiadne riziko.
I pushed the code to bypass and decrypt App-Bound encrypted keys in Chrome 127+. Enjoy.https://t.co/4xHFuwXxc1 pic.twitter.com/K6hmOSXbsg
— Alex (@xaitax) October 27, 2024
Hoci tento nástroj dovoľuje kradnutie súborov cookies, ide o kód, ktorý hackeri dávno prelomili, krátko po vydaní App-Bound šifrovacej funkcie. Potvrdili to aj viacerí ďalší bezpečnostní analytici, ktorí sa zameriavajú na analýzu škodlivých kódov.
Prelomiť App-Bound šifrovanie dokáže napríklad známy infostealer Lumma stealer. Spočiatku použili veľmi podobnú metódu, akú použil bezpečnostní analytik, no táto metóda vedie k ľahkému odhaleniu. Odvtedy svoje praktiky vylepšili a dnes používajú sofistikovanejšie metódy.
Spoločnosť Google ešte nestihla dobehnúť hackerov, ktorým sa podarilo prelomiť App-Bound šifrovanie. Znamená to, že kyberzločinci stále dokážu kradnúť súbory cookies mimoriadne jednoducho.
Používanie infostealerov je na vzostupe
Ako sme už spomenuli, hackerom netrvalo dlho, aby prekonali nový spôsob zabezpečenia cookies súborov. Jedným z príkladov je Lumma stealer, infostealer malvér, ktorý sa dlhodobo vyskytuje v online priestore.
Lumma Stealer malware je typ škodlivého softwaru, ktorý je navrhnutý tak, aby kradol citlivé informácie z infikovaného počítača alebo zariadenia. Hlavným cieľom tohto škodlivého programu je získať prihlasovacie údaje k bankovníctvu. Nemusíme ti preto zvlášť hovoriť, že akonáhle hackeri získajú, čo hľadajú, tak ti vybielia bankový účet. Samozrejme, hackeri môžu chcieť získať aj iné informácie.
Malvér sa môže šíriť napríklad cez falošné stránky. V najnovšej hackerskej kampani využili útočníci relatívne novú metódu, v rámci ktorej ťa manipulujú, aby si si malvér stiahol do zariadenia sám, cez príkazový riadok PowerShell. Väčšinou ťa vystrašia nejakou chybou v prehliadači a zároveň ponúkajú “návod” ako túto chybu opraviť. Návod pritom zahŕňa skopírovanie neznámeho kódu a jeho spustenie v rozhraní PowerShell.
Hneď ako po skopírovaní kódu stlačíš Enter, v podstate si sám počítaču nariadil, na aký server sa pripojiť, čo z neho stiahnuť a následne nainštalovať.
Komentáre