道高一尺,魔高一丈,Google在Chrome 80刚加入以AES 256加密Windows系统密码及cookies的技术,不到一个月就已经被窃取信息的恶意软件作者突破了。
不再如同之前的Chrome版本,只利用Windows内置的资料保护API(DAPI)来处理加密,Google 2月发布的Chrome 80,是另外使用AES-256算法加密,以增加一层防护。一家安全厂商二月底分析一个用户资料交易的地退市场,发现和恶意程序AZORult有关的资料外泄大幅下降,显示Chrome 80的新式防护的确发挥作用,AZORult会专门窃取加密货币、密码、上网纪录、cookies及Skype、Telegram等帐密。
不过这个成功并没有维持太久。BleepingComputer引述KELA安全研究人员报道,至少4种窃密程序的作者,在Chrome 80发布后4天,即在黑客论坛中宣称已经破解了新算法。窃密程序KPOT作者说,会实例于之后的“更新版”中。宣称可窃取60种App信息的窃密程序Racoon作者表示,其产品可以已经能绕过Chrome 80的安全防护层。另一个新窃密程序还打广告说“支持Chrome 80”。安全厂商指出,窃密软件圈最近似乎以打败Chrome最新安全技术,作为新卖点。
即使如此,升级Chrome 80对一般用户来说,还是有其他好处。Google指出,新版Chrome可在沙箱中执行网络层运行,也变更了加密密码、cookies的算法及存储机制,可扰乱现有窃密黑客使用的工具。此外,Chrome 80也修补了前版的50多项漏洞、自动将混合内容升级到HTTPS,同时禁止网站Cookie跨站访问,仍是现有上网较安全的选择之一。