浏览器的本地数据加密机制详解
发布时间:2022-07-06 16:41:15 所属栏目:安全 来源:互联网
导读:早在2月,我曾写过有关浏览器密码管理器的文章,并提到在决定如何实施功能及其安全保护时了解攻击模型非常重要。 Web浏览器会存储各种高度敏感的数据,包括密码和cookie(通常包含功能上与密码等效的身份验证令牌)。当存储此特别敏感的数据时,Chromium使用AE
早在2月,我曾写过有关浏览器密码管理器的文章,并提到在决定如何实施功能及其安全保护时了解攻击模型非常重要。 Web浏览器会存储各种高度敏感的数据,包括密码和cookie(通常包含功能上与密码等效的身份验证令牌)。当存储此特别敏感的数据时,Chromium使用AES256对其进行加密,并将加密密钥存储在OS存储区中,以上过程就是本地数据加密。并非所有浏览器的数据存储都使用加密,例如,浏览器缓存不使用加密。如果你的设备有被盗的危险,则应使用操作系统的全盘加密功能,例如Windows上的BitLocker。 配置文件的加密密钥受OSCrypt保护:在Windows上,“操作系统存储”区域为DPAPI;在Mac上是钥匙串;在Linux上,它是Gnome Keyring或KWallet。 值得注意的是,所有这些存储区均使用可作为用户运行的(某些或全部)进程可访问的密钥对AES256密钥进行加密。这意味着,如果你的PC感染了恶意软件,则攻击者可以解密访问浏览器的存储区。 在Mac上,研究人员最近在Edge发现了一个漏洞,即浏览器无法从OS钥匙串获取浏览器密钥。由于浏览器将提供删除钥匙串(丢失所有数据)的功能,但是忽略漏洞消息并重新启动通常可以解决问题,不过最近该漏洞的修复程序已经发布了。 在Windows上,DPAPI漏洞通常是隐蔽进行的。通常受害者的数据消失,并且没有消息框。 当我于2018年首次加入Microsoft时,AAD中的一个漏洞意味着我的OS DPAPI密钥已被破坏,导致基于Chromium的浏览器在启动时会导致lsass永远保留CPU内核,解决此漏洞需要花费数月的时间。 最近,研究人员从Windows 10上的一些受害者那里听说Edge和Chrome经常删除他们的数据,在其他使用DPAPI的应用程序中也看到了类似的效果。 处于此状态的用户在浏览器会话中首次发现其敏感数据丢失的情况下,在Chrome或Edge中访问了chrome://histograms/OSCrypt的用户将在OSCrypt.Win.KeyDecryptionError中看到值为-2146893813(NTE_BAD_KEY_STATE)的条目,表明OS API无法使用当前登录用户的凭据来解密浏览器的加密密钥: 浏览器的本地数据加密机制分析 如果你发现系统处于这种状态,请尝试在PowerShell中运行以下命令: 复制 Get-ScheduledTask | foreach { If (([xml](Export-ScheduledTask -TaskName $_.TaskName -TaskPath $_.TaskPath)).GetElementsByTagName("LogonType").'#text' -eq "S4U") { $_.TaskName } } 1. 这将列出怀疑使用S4U功能的所有计划任务,这些任务可能会导致漏洞的DPAPI凭据: 浏览器的本地数据加密机制分析 Windows Crypto小组正在积极研究此问题,希望我们会尽快修复。 总结 进程可以要求操作系统解密浏览器的密钥确实是一个很有趣的问题,在Windows上,Chromium使用DPAPI的CryptProtectData允许任何以用户身份运行的进程发出请求。没有尝试使用附加的熵来进行更好的加密,这主要是因为没有地方可以安全地存储该附加的熵。在现代Windows上,还有一些其他机制可以提供比原始CryptProtectData更高的隔离度,但是完全信任的恶意软件总是能够找到获取数据的方法。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |