背景图片取自／Alex wong on Unsplash

有鑒于窃密软件盛行，Google为Chrome新增应用导向的加密技术，防範恶意应用程序窃取浏览器密码或网银帐号。

为了加速上网使用服务，Chrome会利用OS提供的安全功能来储存重要资讯，像是密码或cookies。例如在macOS上，Chrome使用Keychain服务，在Linux上，则用了kwallet或gnome-libsecret。在Windows上，Chrome已经用了资料保护API（Data Protection API，DPAPI），它可以保护静态资料免于系统上其他用户存取，或是冷启动攻击（cold boot attack）。但是DPAPI并不能防止以既有登入用户身分执行程序码的恶意应用程序，这种技俩为许多窃密软件常用。

因此在Windows版Chrome 127版将加入新技术，提供应用导向的加密（App-Bound Encryption）型别。在此新技术下，Chrome能加密和应用身分（identity）相关的资料，不是所有以既有登入用户身分执行的App都能存取这些资料，类似macOS上Keychain的运作方式。

Google会逐步将所有敏感资料移到新的保护系统，会先从Chrome 127中的cookies开始。未来，Google计画扩大到密码、支付资料或其他常驻的验证token等，以防範窃密恶意程序。

由于应用导向服务是结合系统权限执行，攻击者必须设法诱骗用户执行恶意App。恶意程序必须取得更高系统权限，若无法呼叫更高权限，就会使用程序码注入手法，但也更容易被端点代理程序侦测到。

Google并说，这类防护可能被恶意程序以高等用户权限来绕过，因此最新的Chrome安全功能格外适合那些不允许用户下载并执行文件的企业环境。

此外，Google提醒，App导向的加密方法仰赖将加密金钥绑在机器上，无法正确执行在多台机器之间轮转Chrome用户资料档（profile）的企业环境中。若前述企业想使用Google Chrome的新防护功能，可使用ApplicationBoundEncryptionEnabled规则来配置应用导向的加密。