Data di pubblicazione: 17 marzo 2025
L'anno scorso abbiamo annunciato il miglioramento della sicurezza per cookie e credenziali con la crittografia associata all'app per Chrome.
Abbiamo osservato che questa nuova protezione ha comportato una riduzione sostanziale di questo tipo di compromissione dell'account, ma gli aggressori rimangono molto motivati ad adattarsi a queste nuove difese e continuiamo a monitorare le tecniche e i comportamenti utilizzati dagli infostealer.
Da quando è stata attivata la crittografia associata all'app, abbiamo registrato un aumento degli aggressori che utilizzano il debug remoto di Chrome per estrarre i cookie. L'utilizzo di questo metodo per rubare i cookie di Chrome è stato discusso dal 2018. Tuttavia, recenti post del blog che trattano questo utilizzo della porta di debug remoto, e strumenti per estrarre i cookie supportano i nostri dati interni che mostrano la sua crescente popolarità. Ci impegniamo costantemente a sconvolgere queste tecniche e a limitare ulteriormente gli autori di attacchi, aumentando il costo di questi attacchi e proteggendo la sicurezza degli utenti di Chrome.
Pertanto, a partire da Chrome 136, stiamo apportando modifiche al comportamento di --remote-debugging-port e --remote-debugging-pipe. Questi parametri non verranno più rispettati se si tenta di eseguire il debug della directory dei dati di Chrome predefinita. Ora questi switch devono essere accompagnati dallo switch --user-data-dir
per puntare a una directory non standard. Una directory di dati non standard utilizza una chiave di crittografia diversa, il che significa che i dati di Chrome sono ora protetti dagli utenti malintenzionati.
Per gli sviluppatori che devono eseguire il debug di Chrome (ad esempio da VSCode), le istruzioni già specificano l'utilizzo di una home directory dei dati utente personalizzata e continuiamo a consigliare questo approccio per isolare qualsiasi attività di debug da eventuali profili reali.
Per gli scenari di automazione del browser, ti consigliamo di utilizzare Chrome per testing, che continuerà a rispettare il comportamento esistente.
Invia eventuali problemi relativi a questa nuova funzionalità di sicurezza su crbug.com.