Infostealer-malware omzeilt beveiliging Google Chrome
App-Bound Encryption moet voorkomen dat aanvallers toegang krijgen tot gevoelige gegevens die in Chrome zijn opgeslagen, zoals cookies en wachtwoorden. Aanvallers die de beveiliging willen omzeilen, moeten daarvoor code injecteren in Chrome of systeemrechten verkrijgen. Beide aanvalsmethoden zouden echter niet onopgemerkt blijven door beveiligingstools op je computer, verzekerde Will Harris van het Android Security & Privacy-team bij Google.
Eenvoudig te omzeilen
Ontwikkelaars van de infostealer-malware zijn er naar eigen zeggen al in geslaagd de App-Bound Encryption te omzeilen, zo melden beveiligingsonderzoekers g0njxa en RussianPanda9xx. Het is onduidelijk of al deze claims juist zijn. De onderzoekers wisten in elk geval te achterhalen dat de Lumma Stealer-tool in staat is de beveiliging in Chrome 129 te omzeilen. Ook de Vidar-infostealer-malware zou daartoe in staat zijn en kan zodoende cookies stelen die in Google Chrome zijn opgeslagen.
De ontwikkelaars van Lumma Stealer benadrukten bovendien dat de tool niet met administratorrechten uitgevoerd hoeft te worden om zijn doel te bereiken. Hoe de tool dan alsnog de benodigde rechten verkrijgt, is onduidelijk. Van Lumma, een andere infostealer-tool, is daarentegen bekend dat hij zichzelf dezelfde rechten geeft als het ingelogde Windows-account.
Hoe de infostealer-tools precies te werk gaan om de App-Bound Encryption, die sinds Chrome 127 in de webbrowser aanwezig is, te omzeilen, is niet bekendgemaakt. Volgens de makers van de Rhadamanthys-malware was het relatief eenvoudig om de beveiligingsmaatregel te omzeilen. Naar eigen zeggen kostte het hen slechts 10 minuten om een omweg op te zetten.
Minder veilig dan gedacht
Chrome lijkt dus net iets minder veilig dan Google doet vermoeden met de uitrol van App-Bound Encryption. Hopelijk kan de zoekgigant op korte termijn een oplossing uitbrengen zodat infostealer-malware buiten spel gezet wordt.
Hoe onschuldig de aanval namelijk ook lijkt, criminelen kunnen heel wat schade aanrichten met gestolen cookies. Diverse websites slaan je inlogsessies namelijk op als ‘cookie’. Wanneer je inlogt, wordt zo’n cookie aangemaakt, en als je die website enkele dagen later bezoekt, wordt er gecontroleerd of die sessiecookie nog aanwezig is. Door die cookie te stelen, krijgen dus hackers toegang tot je accounts.
Dat gebeurde eerder bijvoorbeeld bij de bekende YouTuber LinusTechTips, waarvan de Google-sessietoken werd gestolen. Als ‘normale’ gebruiker heb je waarschijnlijk weinig te vrezen voor een infostealer-aanval. Hackers richten zich voor zulke aanvallen doorgaans op personen met waardevolle onlineaccounts.