Chrome 77 beschermt tegen wachtwoord- en datadiefstal

Google lanceerde in Chrome 67 in 2018 Site Isolation als bescherming tegen het Spectre-lek. Deze functie gebruikt processen van het besturingssysteem om het voor aanvallers moeilijker te maken data te stelen van andere websites. Deze functie kan in het nieuwe Chrome 77 nog geavanceerdere aanvallen tegenhouden.

Spectre is een fout die misbruik maakt van het feit dat browsers JavaScript en andere content van twee of meer websites combineren tot een enkel proces. Die aanpak maakte het namelijk voor een website van een aanvaller mogelijk om gevoelige data van een andere website te stelen.

Google loste het probleem software-matig op voor zijn Chrome-browser, door Site Isolation te introduceren. Site Isolation zorgt ervoor dat een proces van de rendering engine van Chrome – Blink – content bevat van maximaal één site. Daardoor kunnen aanvalswebsites niet langer toegang krijgen tot data die ze mogelijk willen stelen.

Site Isolation wordt in Chrome 77 voor desktops nog verder uitgebreid. De functie kan nu namelijk ook omgaan met ernstigere aanvallen waarbij het renderer-proces volledig gecompromitteerd is, vertellen Google-engineers Alex Moshchuk en Lukasz Anforowicz in een blogbericht. Chrome biedt daardoor een betere bescherming tegen diefstal van data en wachtwoorden.

Meer beperkingen voor processen

Site Isolation legt processen in Chrome 77 meer beperkingen op. Zo mogen alleen processen die toebehoren tot de overeenkomende website toegang krijgen tot cookies en opgeslagen wachtwoorden.

Ook worden gevoelige resource-types – zoals HTML, XML en PDF – uit een proces gefilterd via Cross-Origin Read Blocking. Daarnaast worden resources met een Cross-Origin-Resource-Policy header-label beschermd door Site Isolation.

Renderer-processen krijgen bovendien alleen toegang tot opgeslagen data en toestemmingen als de microfoon op basis van de site look van een proces. Het browser-proces van Chrome kan verder de bron van postMessage- en BroadcastChannel-berichten verifiëren. Daardoor kan het renderer-proces niet liegen over wie een bericht stuurt en zo alsnog data stelen.

Ook naar mobiel

Site Isolation wordt nu ook uitgerold naar de mobiele versies van Chrome op Android en iOS. De functie is echter wel gelimiteerd in deze variant van de browser. Site Isolation wordt namelijk alleen ingezet bij websites waar een wachtwoord ingevoerd moet worden.

Volgens Ars Technica is dat omdat Site Isolation de prestaties vermindert. Site Isolation dwingt Chrome namelijk om meer processen aan te maken, die maximaal 5 procent meer geheugen kunnen gebruiken. Mobiele apparaten hebben minder geheugen dan desktops en laptops, waardoor de gevolgen hiervan groter kunnen zijn.