Dipublikasikan: 17 Maret 2025
Tahun lalu, kami mengumumkan peningkatan keamanan untuk cookie dan kredensial dengan Enkripsi Terikat Aplikasi untuk Chrome.
Meskipun kami mengamati bahwa perlindungan baru ini menghasilkan pengurangan yang signifikan pada jenis pembajakan akun ini, penyerang tetap sangat termotivasi untuk beradaptasi dengan pertahanan baru ini dan kami terus memantau teknik dan perilaku yang digunakan oleh infostealer.
Sejak Enkripsi Terikat Aplikasi diaktifkan, kami melihat peningkatan jumlah penyerang yang menggunakan Proses Debug Jarak Jauh Chrome untuk mengekstrak cookie. Penggunaan metode ini untuk mencuri cookie Chrome telah dibahas sejak tahun 2018. Namun, postingan blog terbaru yang membahas penggunaan port proses debug jarak jauh ini, dan alat untuk mengekstrak cookie mendukung data internal kami yang menunjukkan peningkatan popularitasnya. Kami tetap berkomitmen untuk mengganggu teknik ini, dan membatasi penyerang lebih lanjut—sehingga meningkatkan biaya serangan ini dan melindungi keamanan pengguna Chrome.
Oleh karena itu, mulai Chrome 136, kami melakukan perubahan pada perilaku
--remote-debugging-port dan --remote-debugging-pipe. Tombol ini
tidak akan lagi dipatuhi jika mencoba men-debug direktori data
Chrome default. Tombol ini kini harus disertai dengan tombol --user-data-dir
untuk mengarah ke direktori non-standar. Direktori data non-standar menggunakan
kunci enkripsi yang berbeda, yang berarti data Chrome kini dilindungi dari
penyerang.
Untuk developer yang perlu men-debug Chrome (misalnya, dari VSCode), petunjuk telah menentukan penggunaan direktori data pengguna kustom dan kami terus merekomendasikan pendekatan ini untuk mengisolasi proses debug dari profil sebenarnya.
Untuk skenario otomatisasi browser, sebaiknya gunakan Chrome untuk Pengujian yang akan terus mengikuti perilaku yang ada.
Laporkan masalah apa pun terkait fitur keamanan baru ini ke crbug.com.