App-bound šifrovanie v prehliadači Chrome bolo prelomené. Hackeri o slabine už vedia, zneužívajú ju, hovorí bezpečnostný expert

Bezpečnostný analytik prelomil App-Bound šifrovane prehliadača Chrome, ktoré chráni súbory cookies. Zvládli to už aj hackeri, hovorí.

Google chce pridať do prehliadača Chrome Maskovanie IP adresy
Zdroj: Pixabay (WikimediaImages geralt), Úprava: Vosveteit.

Bezpečnostný analytik vyvinul v rámci nového výskumu nástroj, ktorý dokáže obísť nový šifrovací mechanizmus Googlu a ukradnúť prihlasovacie údaje z cookies súborov v prehliadači Chrome, upozorňuje server bleepingcomputer.com.  

Google nedávno implementoval do prehliadača Chrome takzvané App-bound šifrovanie, ktoré malo hackerom sťažiť prístup k súborom cookies užívateľov. Ako hovorí tvorca nového hackovacieho nástroja, táto technológia dokáže to, čo už zvládne niekoľko rôznych infostealerov, ktoré sa šíria v online priestore.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Bezpečnostný analytik vyvinul tento nástroj výhradne pre výskumné účely. Pozoruje však, že viacero kyberzločincov sa už naučilo podobné mechanizmy, ktorými v podstate dosiahnu rovnaký výsledok.  

Šifrovanie cookies hackerom dlho neodolalo

Spoločnosť Google implementovala App-Bound šifrovanie do prehliadača Chrome v júli, v aktualizácii Chrome 127. Toto šifrovanie šifruje súbory cookies pomocou Windows procesu, ktorý má systémové privilégiá. Cieľom tejto technológie je chrániť citlivé užívateľské súbory pred infostealer malvérom. Služba to dokáže tak, že šifruje cookies s najvyššími povoleniami zariadenia užívateľa, na ktorom vznikli. Inými slovami povedané, na rozšifrovanie súborov cookies by potreboval malvér získať systémové povolenia konkrétneho zariadenia, čo už by vzbudilo pozornosť antivírového softvéru.  

Malvér WarmCookie opäť vyčíňa, šíri sa cez falošné aktualizácie
Zdroj: Unsplash (Alexander Grey, Markus Spiske), Úprava: Vosveteit.sk

“App-Bound šifrovanie spôsobuje, že útočníci musia toho spraviť viac, ako len presvedčiť užívateľa, aby spustil škodlivý program,” vysvetľuje spoločnosť Google.  

App-Bound šifrovanie vyšlo v júli tohto roku, no už v septembri sa našlo niekoľko infostealer malvérov, ktoré dokázali novú bezpečnostnú funkciu obísť a dostať sa opäť k citlivým dátam užívateľov. Spoločnosť Google opisuje súboj medzi vývojármi aplikácií a hackermi ako hru na mačku a myš. Na prelomenie ich “neprelomiteľnej” ochrany spoločnosť Google povedala, že nikdy nečakali, že ich bezpečnostné mechanizmy budú nepriestrelné. 

Google ale dúfa, že App-Bound šifrovanie položilo základy, na ktorých postaví technologický gigant oveľa robustnejšiu formu ochrany.  

Bezpečnostný analytik, ktorý vytvoril nástroj na prelomenie App-Bound šifrovania zdieľal svoj softvér verejne na platforme GitHub. Zverejnenie umožňuje komukoľvek učiť sa zo zdrojového kódu a vyvinúť efektívnu obranu. Zverejnenie zdrojového kódu ale nepredstavuje žiadne riziko.  

Hoci tento nástroj dovoľuje kradnutie súborov cookies, ide o kód, ktorý hackeri dávno prelomili, krátko po vydaní App-Bound šifrovacej funkcie. Potvrdili to aj viacerí ďalší bezpečnostní analytici, ktorí sa zameriavajú na analýzu škodlivých kódov.  

Prelomiť App-Bound šifrovanie dokáže napríklad známy infostealer Lumma stealer. Spočiatku použili veľmi podobnú metódu, akú použil bezpečnostní analytik, no táto metóda vedie k ľahkému odhaleniu. Odvtedy svoje praktiky vylepšili a dnes používajú sofistikovanejšie metódy.  

Spoločnosť Google ešte nestihla dobehnúť hackerov, ktorým sa podarilo prelomiť App-Bound šifrovanie. Znamená to, že kyberzločinci stále dokážu kradnúť súbory cookies mimoriadne jednoducho.  

Hackeri šíria zákerný malvér cez HTML prílohu
Zdroj: Marcin Paśnicki z Pixabay

Používanie infostealerov je na vzostupe 

Ako sme už spomenuli, hackerom netrvalo dlho, aby prekonali nový spôsob zabezpečenia cookies súborov. Jedným z príkladov je Lumma stealer, infostealer malvér, ktorý sa dlhodobo vyskytuje v online priestore.  

Lumma Stealer malware je typ škodlivého softwaru, ktorý je navrhnutý tak, aby kradol citlivé informácie z infikovaného počítača alebo zariadenia. Hlavným cieľom tohto škodlivého programu je získať prihlasovacie údaje k bankovníctvu. Nemusíme ti preto zvlášť hovoriť, že akonáhle hackeri získajú, čo hľadajú, tak ti vybielia bankový účet. Samozrejme, hackeri môžu chcieť získať aj iné informácie. 

Malvér sa môže šíriť napríklad cez falošné stránky. V najnovšej hackerskej kampani využili útočníci relatívne novú metódu, v rámci ktorej ťa manipulujú, aby si si malvér stiahol do zariadenia sám, cez príkazový riadok PowerShell. Väčšinou ťa vystrašia nejakou chybou v prehliadači a zároveň ponúkajú “návod” ako túto chybu opraviť. Návod pritom zahŕňa skopírovanie neznámeho kódu a jeho spustenie v rozhraní PowerShell.  

Hneď ako po skopírovaní kódu stlačíš Enter, v podstate si sám počítaču nariadil, na aký server sa pripojiť, čo z neho stiahnuť a následne nainštalovať.  

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre