Google почала розгортання нової функції безпеки Device Bound Session Credentials у Chrome для Windows, яка має зменшити ризик викрадення сесій і несанкціонованого доступу до акаунтів.
Google відкрила для всіх користувачів Windows нову функцію безпеки Device Bound Session Credentials у браузері Chrome. Раніше вона кілька місяців тестувалась у відкритій бета-версії, а тепер стала доступною публічно.
Наразі новий механізм працює у Chrome 146 на Windows. Підтримка macOS з’явиться пізніше, у наступних версіях браузера. У компанії прямо кажуть, що це відповідь на одну з найпоширеніших проблем сучасної кібербезпеки.
«Цей проєкт є значним кроком уперед у наших постійних зусиллях щодо боротьби з крадіжкою сеансів, яка залишається поширеною загрозою», – заявили команди Chrome і безпеки акаунтів Google.
Сама атака виглядає доволі просто. Зловмисники викрадають сесійні cookie з браузера і використовують їх для входу в акаунти без пароля. Це може відбуватися двома способами: або дані одразу крадуться зі зламаного пристрою, або шкідливе ПЗ просто чекає, поки користувач увійде в систему.
Найчастіше такі сценарії пов’язані з інфостілерами. Серед них:
Atomic
Lumma
Vidar Stealer
Ці програми збирають усе, що можуть, включно з cookie, історією браузера та іншими даними.
Проблема в тому, що сесійні cookie можуть жити довго. Через це їх можна використовувати для доступу до акаунтів навіть без знання пароля. Після збору такі дані пакують і продають іншим кіберзлочинцям, які використовують їх у власних атаках.
DBSC має змінити цю ситуацію. Технологія прив’язує сесію до конкретного пристрою за допомогою криптографії. Навіть якщо cookie викрадуть, вони не працюватимуть без доступу до самого пристрою.
Google пояснює, що для цього використовуються апаратні модулі безпеки. Наприклад:
TPM у Windows
Secure Enclave у macOS
Вони створюють унікальну пару ключів, яку неможливо витягнути з пристрою.
«Випуск нових короткочасних сесійних cookie залежить від того, чи Chrome підтвердить володіння відповідним закритим ключем», – пояснили в компанії.
Оскільки зловмисники не можуть отримати цей ключ, викрадені cookie швидко стають марними. Якщо ж пристрій не підтримує безпечне зберігання ключів, система просто повертається до стандартної поведінки і не ламає процес входу.
У Google також зазначають, що вже бачать ефект від впровадження. Кількість випадків викрадення сесій зменшилась, хоча технологія тільки почала розгортатися.
Далі компанія планує розширити підтримку DBSC на інші пристрої та додати можливості для корпоративного використання. Окремо підкреслюється, що рішення не створює нових ризиків для приватності. Архітектура побудована так, щоб сайти не могли відстежувати користувача між різними сесіями або сервісами.
«Протокол не передає ідентифікатори пристрою або інші дані, окрім відкритого ключа, необхідного для перевірки», – заявили в Google.
Це гарантує, що DBSC захищає сесії без створення механізмів для міжсайтового відстеження або цифрового відбитка пристрою. Таким чином Google фактично робить викрадення cookie менш ефективним. І це один із перших реальних кроків, який ускладнює роботу інфостілерів на практиці.
