丝袜脚 新用具绕过 Google Chrome 的新 cookie 加密系统

发布日期：2024-11-06 12:16    点击次数：75

近期，经营东说念主员发布了一种用具丝袜脚，不错绕过 Google 新的 App-Bound 加密 cookie 盗窃回绝，并从 Chrome 网罗浏览器中索要保存的笔据。

该用具名为" Chrome-App-Bound-Encryption-Decryption "，由网罗安全经营员 Alexander Hagenah 发现，其他东说念主仍是在找出一样的绕过要领。

尽管该用具终显著多个信息窃取者操作已添加到其坏心软件中的功能，但其公开可用性增多了继续在浏览器中存储敏锐数据的 Chrome 用户的风险。

Google 的专揽设施绑定加密问题

Google 在 7 月份推出了专揽设施绑定（App-Bound）加密（Chrome 127）行动一种新的保护机制，该机制使用以 SYSTEM 权限启动的 Windows 职业来加密 cookie。

其见地是保护敏锐信息免受 infostealer 坏心软件的侵害，该坏心软件在登托福户的权限下启动，使其无法在莫恰当先得回系统权限的情况下解密被盗的 cookie，并可能在安全软件中发出警报。

谷歌在 7 月份曾阐扬："由于 App-Bound 职业所以系统权限启动的，报复者需要作念的不单是是骗取用户启动坏心专揽设施。当今，坏心软件必须得回系统权限，偶然将代码注入 Chrome，这是正当软件不应该作念的事情。"

相关词，到了 9 月份，多个信息窃取者仍是找到了绕过新安全功能的要领，聚色庄园并为他们的网罗监犯客户提供了再次窃取息争密 Google Chrome 敏锐信息的能力。

信息窃取者斥地东说念主员与其工程师之间的"猫捉老鼠"游戏一直是预念念之中，谷歌从未以为我方的回绝机制会是无孔不入的。相背，跟着专揽设施绑定加密的引入，他们但愿最终能为逐渐构建更健全的系统奠定基础。

公开绕过

昨天，Hagenah 在 GitHub 上提供了他的 App-Bound 加密绕过用具，并分享源代码，允许任何东说念主学习和编译该用具。

该用具使用 Chrome 里面基于 COM 的 IElevator 职业，解密存储在 Chrome 腹地气象文献中的专揽设施绑定加密密钥。提供了一种检索息争密这些密钥的要领，Chrome 通过专揽设施绑定加密 ( ABE ) 来保护这些密钥，以留心未经授权拜谒 Cookie 等安全数据（以及改日可能的密码和支付信息）。

要使用该用具，用户必须将可推行文献复制到 Google Chrome 目次中，该目次频频位于 C:Program FilesGoogleChromeApplication。

该文献夹受保护，因此用户必须当先得回处治员权限能力将可推行文献复制到该文献夹。

相关词，这频频很容易终了，因为很多 Windows 用户（尤其是蓦然者）使用具有处治权限的帐户。

少妇

就其对 Chrome 安全性的本色影响而言，经营东说念主员 g0njxa 暗意，Hagenah 的用具展示了一种大大量信息窃取者当今仍是越过的基本要领，不错从统共版块的 Google Chrome 中窃取 cookie。 eSentire 坏心软件分析师也说明，Hagenah 的要领看起来与谷歌初次在 Chrome 中实施专揽设施绑定加密时信息窃取者所聘请的早期绕过要领一样。

Lumma 也使用了这种要领——通过 COM 实例化 Chrome IElevator 接口来拜谒 Chrome 的 Elevation Service 来解密 cookie，但这可能会非凡嘈杂且易于检测。当今，他们使用转折解密，而不径直与 Chrome 的高程职业交互。

不外，g0njxa 驳斥称，谷歌仍未赶上，因此使用新用具不错放肆窃取 Chrome 中存储的用户巧妙。

为了反馈该用具的发布，Google 暗意此代码 [ xaitax ] 需要处治员权限，这也标明仍是到手耕种了终了此类报复所需的拜谒量。

诚然照实需要处治员权限丝袜脚，但它似乎并莫得影响信息窃取坏心软件操作，这些坏心软件操作在往日六个月中只增多了，通过零日谬误、对 GitHub 问题的造作斥地，以致对堆栈溢出。