Ваш пароль украли? Ну и ладно. Google придумала, как сделать похищенные куки браузера бесполезными

Кража сессий давно стала одной из самых неприятных техник взлома: пароль уже не нужен, если у злоумышленника есть куки из браузера. Google решила закрыть эту дыру на уровне самой логики авторизации и вывела в стабильный релиз функцию Device Bound Session Credentials. Пока механизм доступен пользователям Chrome на Windows, но дальше его собираются распространить и на другие платформы.

Схема атаки выглядит довольно приземленно. Пользователь подхватывает инфостилер — например, семейства вроде Atomic, Lumma или Vidar. Такие программы вытаскивают из системы почти все ценное, включая куки из браузера. В этих файлах уже лежит подтверждение входа в аккаунт. Сервис считает, что пользователь авторизован, и не требует пароль заново. В результате злоумышленник получает готовый доступ к почте, соцсетям или корпоративным сервисам.

Дальше включается экономика теневого рынка. Украденные куки собирают в базы и продают другим группам. Покупателю не нужно ломать защиту — достаточно подставить чужую сессию и зайти в аккаунт как легитимный пользователь. С учетом того, что многие сессии живут довольно долго, окно для атаки получается широким.

Device Bound Session Credentials меняет сам принцип работы таких сессий. Вместо того чтобы просто хранить куки, браузер привязывает авторизацию к конкретному устройству. Делается это через криптографию: при входе создается пара ключей — публичный и приватный. Приватный ключ остается внутри устройства и не может быть извлечен наружу.

На Windows для этого используется Trusted Platform Module, на macOS — Secure Enclave. Эти аппаратные модули специально сделаны так, чтобы хранить ключи в изолированной среде. Даже если система заражена, получить приватный ключ напрямую не получится.

Дальше логика становится жестче. Сервер выдает короткоживущие куки сессии, но принимает их только если браузер докажет, что у него есть соответствующий приватный ключ. То есть одного куки уже недостаточно. Нужен доступ к самому устройству, где этот ключ хранится.

В результате украденные куки теряют ценность. Злоумышленник может вытащить их с зараженного компьютера, но использовать не сможет — сервер не получит криптографического подтверждения. Даже если попытаться применить их быстро, срок жизни таких сессий сокращен, и окно атаки резко уменьшается.

Важно, что механизм не ломает старые сценарии. Если устройство не поддерживает безопасное хранение ключей, Chrome просто возвращается к обычной схеме работы. Пользователь не замечает разницы, но и защита в таком случае остается на прежнем уровне.

Google тестировала систему с 2024 года и уже отмечает снижение числа атак через кражу сессий. Теперь функция стала доступна широкой аудитории Windows-пользователей Chrome, начиная с версии 146. Поддержка macOS появится в следующих релизах.

Отдельно разработчики подчеркивают вопрос приватности. Привязка к устройству не означает, что сайты получают новый способ отслеживания. Каждый сеанс использует отдельный ключ, который не связывается с другими сайтами или предыдущими входами. Серверу передается только публичная часть ключа, и этого достаточно для проверки, но недостаточно для построения устойчивого идентификатора пользователя.

Архитектуру разрабатывали совместно с Microsoft с расчетом на открытый стандарт для веба. Если подход закрепится, похожая схема может появиться и в других браузерах. Тогда защита от кражи сессий перестанет быть точечной функцией и станет частью базовой инфраструктуры интернета.

Пока запуск DBSC показывает сдвиг в подходе к защите аккаунтов. Пароли и двухфакторная аутентификация остаются важными, но основной удар теперь приходится по самому слабому месту — повторное использование готовых сессий. Если злоумышленнику больше нечего красть, привычная модель атак начинает разваливаться.