John pan

Google Chrome新80版二月才剛加入密碼及cookie加密技術已被竊密軟體突破

  媒體引述安全研究人員的說法，聲稱有竊密程式在Chrome 80釋出4天後，就能破解Google以AES 256加密Windows系統密碼及cookies的技術。

  Google在Chrome 80剛加入以AES 256加密Windows系統密碼及cookies的技術，不到一個月就已經被竊取資訊的惡意軟體作者突破了。

  與之前不同的Chrome版本，只利用Windows內建的資料保護API（DAPI）來處理加密，Google二月釋出的Chrome 80，是另外使用AES-256演算法加密，以增加一層防護。一家安全廠商二月底分析一個用戶資料交易的地下市集，發現和惡意程式AZORult有關的資料外洩大幅下降，顯示Chrome 80的防護有發揮作用，AZORult會專門竊取加密貨幣、密碼、上網紀錄、cookies及Skype、Telegram等帳密。

  不過這沒維持太久時間，BleepingComputer引述KELA安全研究人員報導，至少4種竊密程式的作者，在Chrome 80釋出後4天，即在駭客論壇中宣稱已破解了新演算法。竊密程式作者KPOT說，用於實作之後的更新版中。宣稱可竊取60種App資料的竊密程式作者Racoon表示，他的已能繞過Chrome 80的安全防護層。另一新竊密程式還打廣告說支援Chrome 80。安全廠商指出，竊密軟體圈近期似乎以能打敗Chrome新安全技術為新賣點。

  即使如此，升級Chrome 80對一般用戶來說還是有好處。Google指出新版Chrome可在沙箱中執行網路層運作，也變更加密密碼、cookies的演算法及儲存機制，可擾亂現有竊密駭客使用的工具。此外Chrome 80也修補了前版的50多項漏洞、自動將混合內容升級到HTTPS，同時禁止網站Cookie跨站存取，仍是現有上網較安全的選擇之一。

來源
謝謝收看