Publicado em 17 de março de 2025
No ano passado, anunciamos a melhoria da segurança de cookies e credenciais com a Criptografia vinculada a apps para o Chrome.
Embora tenhamos observado que essa nova proteção resultou em uma redução substancial nesse tipo de invasão de conta, os invasores continuam muito motivados a se adaptar a essas novas defesas, e continuamos monitorando as técnicas e os comportamentos usados por ladrões de informações.
Desde que a criptografia vinculada ao app foi ativada, observamos um aumento no número de invasores que usam a Depuração remota do Chrome para extrair cookies. O uso deste método para roubar cookies do Chrome é discutido desde 2018. No entanto, as postagens recentes sobre esse uso da porta de depuração remota e as ferramentas para extrair cookies apoiam nossos dados internos que mostram o aumento da popularidade. Continuamos comprometidos a interromper essas técnicas e restringir ainda mais os invasores, aumentando o custo desses ataques e protegendo a segurança dos usuários do Chrome.
Portanto, a partir do Chrome 136, estamos fazendo mudanças no comportamento de
--remote-debugging-port e --remote-debugging-pipe. Essas opções
não serão mais respeitadas se tentarem depurar o diretório de dados padrão
do Chrome. Agora, essas chaves precisam ser acompanhadas da chave --user-data-dir
para apontar para um diretório não padrão. Um diretório de dados não padrão usa
uma chave de criptografia diferente, o que significa que os dados do Chrome agora estão protegidos contra
ataques.
Para desenvolvedores que precisam depurar o Chrome (por exemplo, no VSCode), as instruções já especificam o uso de um diretório de dados do usuário personalizado, e continuamos recomendando essa abordagem para isolar qualquer depuração de perfis reais.
Para cenários de automação de navegador, recomendamos o uso do Chrome para testes, que vai continuar respeitando o comportamento atual.
Informe qualquer problema com esse novo recurso de segurança em crbug.com.