image

Google beschrijft manier om gestolen wachtwoorden uit browser te detecteren

zondag 5 mei 2024, 09:14 door Redactie, 5 reacties

Google heeft een manier beschreven hoe bijvoorbeeld systeembeheerders via Windows Event-logs kunnen zien of er bij een malware-aanval wachtwoorden, cookies en andere data uit Chromium-gebaseerde browsers zijn gestolen. Dergelijke browsers op Windows maken gebruik van de Data Protection API (DPAPI) om lokale secrets zoals wachtwoorden en cookies te beschermen.

Om de data te beschermen werkt DPAPI met een key die wordt afgeleid van de inloggegevens van de gebruiker. Dit moet voorkomen dat andere gebruikers op het systeem de data van de betreffende gebruiker kunnen stelen, of wanneer het systeem is uitgeschakeld. Omdat het DPAPI secret is gekoppeld aan de inlogde gebruiker, biedt het geen bescherming tegen lokale malware-aanvallen. Malware op het systeem kan namelijk dezelfde API's aanroepen als de browser om het DPAPI secret te verkrijgen.

DPAPI events kunnen op verschillende plekken in Windows worden gelogd, waarmee vervolgens kan worden achterhaald dat de betreffende secrets inderdaad uit de browser zijn gestolen. Will Harris van het Chrome Security Team legt in een blog uit hoe dit moet worden gedaan en adviseert het inschakelen van deze logging.

"Het is niet mogelijk om de diefstal van inloggegevens en cookies door malware te voorkomen, maar de volgende beste optie is de aanval via gewone loganalysetools beter zichtbaar voor antivirus, endpoint detection agents of systeembeheerders te maken", aldus Harris. Die voegt toe dat door het vergroten van de kans dat een aanval wordt opgemerkt, aanvallers die graag onopgemerkt blijven en dit soort aanvallen uitvoeren mogelijk een andere afweging zullen maken.

Reacties (5)
05-05-2024, 10:49 door Anoniem
Van daar dat ik safe browser gebruikt van norton ook op Chrome gebaseerd maar veel veiliger houd rommel buiten de browser..tip
05-05-2024, 12:51 door Anoniem
Dit is een oplossing voor Chrome onder Windows. Niet voor Chrome onder Linux, ChromeOS of macOS. En het is een oplossing omdat lsass.exe niet aan de Windows Events doorgeeft welk proces je credentials opvroeg. En deze credentials kunnen nog steeds gestolen worden en meteen misbruikt worden.

Ben niet overtuigd van het nut van deze quick en dirty hack. Weer extra bloat volgens mij. En weer een standaard erbij (voor Windows computers).

Ach, het houdt iedereen lekker bezig :-) Alsof er niets beters te doen is in de IT.
05-05-2024, 14:48 door Anoniem
Maar leert u helaas niet correct spellen: "ik gebruikt",

De voorganger ervan de Avast Safe Browser,
(nu onderdeel van Norton), kreeg onlangs 16 miljoen euro boete
voor onbedoeld tracken van alle met de browser gedeelde data.
05-05-2024, 15:49 door Anoniem
Mmhh, ik gebruik liever zo min mogelijk accounts en wachtwoorden om redenen zoals deze, daarnaast is het belangrijk om te weten dat ook een clipboard eventueel gecompromiteerd kan worden, dus pas op met het copy/pasten van wachtwoorden, het beste is door ze gewoon handmatig in te typen op een bedraad toetsenbord, hebruik daarnaast 2FA oplossingen zoals hardwarekeys en hebruik niet de webbrowser zelf om wachtwoorden op te slaan, er zijn heel goede offline wachtwoord managers op de markt zoals de FLOSS-gebaseerde KeepassXD/DX
05-05-2024, 18:21 door Anoniem
Google, dat is dief en diejesmaat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.