Como pesquisadores conseguiram burlar a proteção AppBound do Google e o que isso significa para a segurança de dados nas empresas
Em julho de 2024, o Google lançou uma nova funcionalidade no Chrome chamada AppBound Cookie Encryption, com o objetivo de proteger melhor os cookies contra roubo por malwares. Essa novidade representou um grande obstáculo para infostealers (malwares que roubam informações), exigindo deles novos métodos para acessar cookies protegidos.
No entanto, pesquisadores de segurança encontraram formas de contornar essa proteção — inclusive como usuários com poucos privilégios no sistema. Este artigo explica a falha, batizada de C4 (Chrome Cookie Cipher Cracker), e os riscos que ela representa para a segurança corporativa.
O que é a criptografia AppBound?
Antes da AppBound, os cookies do Chrome eram criptografados usando a API de Proteção de Dados do Windows (DPAPI). Isso permitia que qualquer malware rodando como o mesmo usuário pudesse descriptografar os cookies. A nova abordagem do Google adicionou três camadas de proteção:
Criptografia dupla com DPAPI: os cookies são criptografados usando tanto a conta do usuário quanto a conta do sistema (SYSTEM).
Serviço de elevação de privilégios: um componente chamado elevation service, que roda como SYSTEM, faz a descriptografia para o Chrome.
Validação de caminho: o serviço compara o caminho do processo que faz o pedido com o caminho do Chrome original. Se não coincidir, o acesso é negado.
A falha: C4 – Chrome Cookie Cipher Cracker
Mesmo com essa proteção robusta, os pesquisadores conseguiram burlar a segurança usando um tipo de ataque criptográfico conhecido como Padding Oracle Attack.
Eles descobriram que é possível explorar mensagens de erro do Windows para determinar se a descriptografia falhou por erro de assinatura ou por preenchimento (padding) incorreto. Com isso, foi possível iterar e quebrar a criptografia, obtendo a chave dos cookies mesmo sem privilégios de administrador.
Esse ataque permite que invasores leiam cookies protegidos e, em alguns casos, até acessem informações restritas originalmente criptografadas para a conta SYSTEM — algo que não deveria ser possível sem privilégios elevados.
Impacto e implicações
Esse tipo de vulnerabilidade mostra como mesmo as melhores intenções de segurança podem ter falhas inesperadas. O ataque C4 tem implicações graves para:
Privacidade de usuários: cookies armazenam informações de sessões autenticadas.
Segurança de sistemas corporativos: acessos indevidos podem permitir ataques mais complexos, como hijacking de sessões.
Integridade de sistemas Windows: o ataque pode ser explorado para acessar dados protegidos pela conta SYSTEM.
O que empresas devem fazer?
A equipe da Solvedesk recomenda:
Atualizar sempre seus navegadores e sistemas operacionais;
Monitorar o uso de cookies e sessões ativamente com ferramentas de segurança integradas;
Controlar rigorosamente os acessos de usuários com privilégios mínimos;
Investir em soluções com Zero Trust e criptografia de ponta a ponta.
O caso da vulnerabilidade C4 mostra que a segurança digital é um jogo constante de ataque e defesa. A Solvedesk acompanha as principais evoluções em segurança cibernética para garantir que seus clientes estejam sempre um passo à frente das ameaças.
Fale com um de nossos especialistas para saber como podemos proteger melhor os dados da sua empresa.
