Google a anunțat o nouă funcție de securitate Chrome care leagă cookie-urile la un dispozitiv specific, blocând hackerii să le fure și să le folosească pentru a prelua conturile utilizatorilor.
Cookie-urile sunt fișiere pe care site-urile web le folosesc pentru a-ți aminti informațiile de navigare și preferințele și pentru a te conecta automat la un serviciu sau site web. Aceste cookie-uri sunt create după ce te-ai conectat la un serviciu și ai verificat autentificările multi-factor, permițându-le să ocolească autentificarea multi-factor (MFA) în logările viitoare.
În mod nefericit, atacatorii folosesc malware-ul pentru a fura aceste cookie-uri, astfel ocolind prompturile MFA pentru a prelua conturile legate.
Pentru a rezolva această problemă, Google lucrează la o nouă funcție numită Device Bound Session Credentials (DBSC) care face imposibilă furtul cookie-urilor tale prin legarea criptografică a cookie-urilor de autentificare la dispozitivul tău.
După activarea DBSC, procesul de autentificare este legat de un anumit nou cuplu de chei publice/private generate folosind cipul Trusted Platform Module (TPM) al dispozitivului tău care nu poate fi exfiltrat și este stocat în siguranță pe dispozitivul tău, astfel încât chiar dacă un atacator fură cookie-urile tale, nu vor putea accesa conturile tale.
„Prin legarea sesiunilor de autentificare la dispozitiv, DBSC își propune să perturbe industria de furt de cookie-uri deoarece exfiltrarea acestor cookie-uri nu va mai avea nicio valoare,” a declarat Kristian Monsen, un inginer software din echipa Google Chrome Counter Abuse.
„Credem că acest lucru va reduce substanțial rata de succes a malware-ului de furt de cookie-uri. Atacatorii ar fi forțați să acționeze local pe dispozitiv, ceea ce face detectarea și curățarea pe dispozitiv mai eficiente, atât pentru software-ul antivirus, cât și pentru dispozitivele gestionate de întreprinderi.”
În timp ce încă se află în faza de prototip, conform acestei cronologii estimate partajate de Google, poți testa DBSC mergând la chrome://flags/ și activând opțiunea dedicată „enable-bound-session-credentials” pe browserele web Chromium bazate pe Windows, Linux și macOS.
DBSC funcționează prin permițerea unui server de a începe o nouă sesiune cu browser-ul tău și de a o asocia cu o cheie publică stocată pe dispozitivul tău folosind un API dedicat (Interfață de Programare a Aplicațiilor).
Fiecare sesiune este susținută de o cheie unică pentru a-ți proteja intimitatea, cu serverul primind doar cheia publică folosită pentru a verifica ulterior posesia. DBSC nu permite site-urilor să te urmărească în diferite sesiuni de pe același dispozitiv, iar poți șterge cheile create în orice moment.
Această nouă capacitate de securitate este de așteptat să fie inițial susținută de aproximativ jumătate din toate dispozitivele desktop Chrome și va fi pe deplin aliniată cu eliminarea treptată a cookie-urilor terțe în Chrome.
„Când va fi implementată complet, consumatorii și utilizatorii enterprise vor beneficia automat de o securitate îmbunătățită pentru conturile lor Google,” a adăugat Monsen.
„Lucrăm și pentru a activa această tehnologie pentru clienții noștri Google Workspace și Google Cloud pentru a oferi un alt nivel de securitate a contului.”
În ultimele luni, actorii amenințării au abuzat de endpoint-ul API-ului Google OAuth „MultiLogin” nedocumentat pentru a genera cookie-uri de autentificare noi după ce cele furate anterior au expirat.
Anterior, BleepingComputer a raportat că operațiunile malware-ului de furt de informații Lumma și Rhadamanthys au pretins că pot restaura cookie-urile de autentificare Google expirate furate în atacuri.
La momentul respectiv, Google a sfătuit utilizatorii să elimine orice malware de pe dispozitivele lor și a recomandat activarea Navigării Sigure Îmbunătățite în Chrome pentru a se apăra împotriva atacurilor de phishing și malware.
Însă această nouă funcție va bloca efectiv actorii amenințării să abuzeze de aceste cookie-uri furate, deoarece nu vor avea acces la cheile criptografice necesare pentru a le folosi.
Google rezolvă zero-urile Chrome exploatate la Pwn2Own 2024
Google este de acord să șteargă datele de navigare Chrome ale a 136 milioane de utilizatori
Microsoft deranjează din nou utilizatorii Chrome cu reclame popup Bing în Windows
Google Chrome primește protecție împotriva pescuitului în timp real mai târziu în acest lună
Google a plătit 10 milioane de dolari în recompense pentru vulnerabilități anul trecut
Leave a Reply