Cookie больше не воруют: новая функция Google Chrome разрушила бизнес хакеров
DBSC делает куки бесполезными для взлома.
В новом обновлении Google Chrome добавлена новая функция безопасности, направленная на борьбу с кражей учетных данных пользователя. Технология Device Bound Session Credentials, ( DBSC ), обещает значительно усложнить задачу злоумышленников, стремящихся украсть cookie-файлы для доступа к аккаунтам пользователя.
Cookies – это файлы, которые веб-сайты используют для запоминания информации о посещениях и предпочтениях пользователей, а также для автоматического входа в систему. Проблема заключается в том, что киберпреступники с помощью вредоносного ПО могут красть куки, тем самым обходя запросы на многофакторную аутентификацию (MFA) и захватывая учетные записи.
Device Bound Session Credentials («Учетные данные сеанса, привязанного к устройству») заключается в криптографической привязке куки аутентификации к конкретному устройству пользователя. Это достигается благодаря созданию уникальной пары открытого/закрытого ключа с использованием чипа Trusted Platform Module (TPM), который невозможно экспортировать и который безопасно хранится на устройстве пользователя. Таким образом, даже в случае кражи куки, злоумышленник не сможет использовать их для доступа к аккаунтам.
В Chrome отметили, что новая функция нарушит привычный ход действий хакеров, поскольку украденные cookie-файлы больше не будут иметь ценности. Атакующим придется действовать локально на устройстве, что упрощает обнаружение и удаление вредоносного ПО как для антивирусных программ, так и для управляемых корпоративных устройств.
В настоящее время функция находится на стадии прототипа, но уже доступна для тестирования на базе Chromium в операционных системах Windows, Linux и macOS. Для теста достаточно ввести в адресной строке «chrome://flags/» и включить специальный флаг «enable-bound-session-credentials».
DBSC работает так, что сервер может начать новую сессию с браузером и ассоциировать ее с публичным ключом, хранящимся на устройстве пользователя. Каждая сессия защищена уникальным ключом, сохраняя конфиденциальность пользователя, а сервер получает только публичный ключ для последующей проверки. Технология не позволяет сайтам отслеживать пользователя между различными сессиями на одном и том же устройстве, а созданные ключи можно удалить в любой момент.
Ожидается, что новая функция безопасности будет поддерживаться примерно на половине всех настольных устройств Chrome и будет полностью согласована с поэтапным отказом от использования сторонних куки в Chrome. В Chrome заявили, что после полного внедрения потребители и корпоративные пользователи автоматически получат улучшенную безопасность своих аккаунтов Google.
Ваша приватность умирает красиво, но мы можем спасти её.