Опубликовано: 17 марта 2025 г.
В прошлом году мы объявили об улучшении безопасности файлов cookie и учетных данных с помощью App-Bound Encryption для Chrome .
Хотя мы заметили, что эта новая защита привела к существенному сокращению случаев взлома учетных записей такого типа, злоумышленники по-прежнему очень заинтересованы в адаптации к этим новым средствам защиты, и мы продолжаем отслеживать методы и поведение, используемые информационными ворами.
После включения шифрования приложений мы стали наблюдать рост числа злоумышленников, использующих удаленную отладку Chrome для извлечения файлов cookie. Использование этого метода для кражи файлов cookie Chrome обсуждается с 2018 года. Однако недавние сообщения в блогах, посвященные использованию порта удаленной отладки и инструментов для извлечения файлов cookie, подтверждают наши внутренние данные, свидетельствуя о его растущей популярности. Мы по-прежнему стремимся разрушить эти методы и дополнительно сдерживать злоумышленников, увеличивая стоимость этих атак и защищая безопасность пользователей Chrome.
Поэтому начиная с Chrome 136 мы вносим изменения в поведение --remote-debugging-port и --remote-debugging-pipe . Эти переключатели больше не будут учитываться при попытке отладки каталога данных Chrome по умолчанию. Эти переключатели теперь должны сопровождаться переключателем --user-data-dir чтобы указать на нестандартный каталог. В нестандартном каталоге данных используется другой ключ шифрования, что означает, что данные Chrome теперь защищены от злоумышленников.
Для разработчиков, которым необходимо отладить Chrome (например, из VSCode), в инструкциях уже указано использование пользовательского каталога пользовательских данных, и мы по-прежнему рекомендуем этот подход, чтобы изолировать любую отладку от любых реальных профилей.
Для сценариев автоматизации браузера мы рекомендуем использовать Chrome для тестирования , который будет продолжать учитывать существующее поведение.
Пожалуйста, сообщайте о любых проблемах, связанных с этой новой функцией безопасности, на crbug.com .