เผยแพร่: 17 มีนาคม 2025
เมื่อปีที่แล้ว เราได้ประกาศการปรับปรุงความปลอดภัยสำหรับคุกกี้และข้อมูลเข้าสู่ระบบด้วยการเข้ารหัสที่เชื่อมโยงกับแอปสำหรับ Chrome
แม้ว่าเราจะพบว่าการป้องกันรูปแบบใหม่นี้ช่วยลดการลักลอบใช้บัญชีประเภทนี้ได้อย่างมาก แต่ผู้โจมตีก็ยังคงมีแรงจูงใจอย่างมากที่จะปรับตัวให้เข้ากับการป้องกันรูปแบบใหม่เหล่านี้ และเรายังคงตรวจสอบเทคนิคและพฤติกรรมที่ผู้ลักลอบขโมยข้อมูลใช้อยู่
นับตั้งแต่เปิดใช้การเข้ารหัสที่เชื่อมโยงกับแอป เราพบว่ามีผู้โจมตีที่ใช้การแก้ไขข้อบกพร่องระยะไกลของ Chrome เพื่อดึงข้อมูลคุกกี้เพิ่มขึ้น การใช้วิธีการนี้เพื่อขโมยคุกกี้ Chrome เป็นเรื่องที่มีการพูดถึงมาตั้งแต่ปี 2018 อย่างไรก็ตาม บล็อกโพสต์ล่าสุดที่กล่าวถึงการใช้พอร์ตการแก้ไขข้อบกพร่องระยะไกลและเครื่องมือในการดึงข้อมูลคุกกี้สนับสนุนข้อมูลภายในของเราซึ่งแสดงให้เห็นถึงความนิยมที่เพิ่มขึ้น เรายังคงมุ่งมั่นที่จะขัดขวางเทคนิคเหล่านี้และจำกัดผู้โจมตีเพิ่มเติม ซึ่งจะเพิ่มต้นทุนการโจมตีเหล่านี้และปกป้องความปลอดภัยของผู้ใช้ Chrome
ดังนั้นตั้งแต่ Chrome 136 เป็นต้นไป เราจะทำการเปลี่ยนแปลงลักษณะการทํางานของ --remote-debugging-port และ --remote-debugging-pipe ระบบจะไม่สนใจสวิตช์เหล่านี้อีกต่อไปหากพยายามแก้ไขข้อบกพร่องไดเรกทอรีข้อมูล Chrome เริ่มต้น ตอนนี้สวิตช์เหล่านี้ต้องมาพร้อมกับสวิตช์ --user-data-dir เพื่อชี้ไปยังไดเรกทอรีที่ไม่ใช่มาตรฐาน ไดเรกทอรีข้อมูลที่ไม่ใช่มาตรฐานจะใช้คีย์การเข้ารหัสอื่น ซึ่งหมายความว่าตอนนี้ข้อมูลของ Chrome ได้รับการปกป้องจากผู้โจมตีแล้ว
สําหรับนักพัฒนาซอฟต์แวร์ที่ต้องการแก้ไขข้อบกพร่องของ Chrome (เช่น จาก VSCode) วิธีการระบุการใช้ไดเรกทอรีข้อมูลผู้ใช้ที่กําหนดเองอยู่แล้ว และเรายังคงแนะนําแนวทางนี้เพื่อแยกการแก้ไขข้อบกพร่องออกจากโปรไฟล์จริง
สำหรับสถานการณ์การทำงานอัตโนมัติของเบราว์เซอร์ เราขอแนะนำให้ใช้ Chrome สําหรับการทดสอบ ซึ่งจะยังคงใช้ลักษณะการทำงานที่มีอยู่ต่อไป
โปรดรายงานปัญหาเกี่ยวกับฟีเจอร์ความปลอดภัยใหม่นี้ไปที่ crbug.com