背景图片取自／Alex wong on Unsplash

有鉴于窃密软件盛行，Google为Chrome添加应用导向的加密技术，防范恶意应用程序窃取浏览器密码或网银帐号。

为了加速上网使用服务，Chrome会利用OS提供的安全功能来存储重要信息，像是密码或cookies。例如在macOS上，Chrome使用Keychain服务，在Linux上，则用了kwallet或gnome-libsecret。在Windows上，Chrome已经用了数据保护API（Data Protection API，DPAPI），它可以保护静态数据免于系统上其他用户存取，或是冷启动攻击（cold boot attack）。但是DPAPI并不能防止以既有登录用户身分运行代码的恶意应用程序，这种技俩为许多窃密软件常用。

因此在Windows版Chrome 127版将加入新技术，提供应用导向的加密（App-Bound Encryption）类型。在此新技术下，Chrome能加密和应用身分（identity）相关的数据，不是所有以既有登录用户身分运行的App都能存取这些数据，类似macOS上Keychain的运作方式。

Google会逐步将所有敏感数据移到新的保护系统，会先从Chrome 127中的cookies开始。未来，Google计划扩大到密码、支付数据或其他常驻的验证token等，以防范窃密恶意程序。

由于应用导向服务是结合系统权限运行，攻击者必须设法诱骗用户运行恶意App。恶意程序必须取得更高系统权限，若无法调用更高权限，就会使用代码注入手法，但也更容易被端点代理程序侦测到。

Google并说，这类防护可能被恶意程序以高等用户权限来绕过，因此最新的Chrome安全功能格外适合那些不允许用户下载并运行文件的企业环境。

此外，Google提醒，App导向的加密方法仰赖将加密密钥绑在机器上，无法正确运行在多台机器之间轮转Chrome用户数据档（profile）的企业环境中。若前述企业想使用Google Chrome的新防护功能，可使用ApplicationBoundEncryptionEnabled规则来配置应用导向的加密。