Разработчики Google анонсировали новую защитную функцию Chrome под названием Device Bound Session Credentials, которая привязывает файлы cookie к конкретному устройству, что должно помешать хакерам похищать их и использовать для взлома учетных записей.
Чтобы решить проблему кражи cookie и их последующего использования для обхода многофакторной аутентификации, в Google создали функцию Device Bound Session Credentials (DBSC), которая криптографически привязывает аутентификационые cookie к конкретному устройству.
После активации DBSC процесс аутентификации связывается с новой парой из публичного и приватного ключей, сгенерированных с помощью чипа Trusted Platform Module (TPM) на устройстве. Во время сеанса сервер периодически проверяет наличие закрытого ключа, чтобы убедиться, что тот все еще находится на том же устройстве. Разработчики уверяют, что такие ключи не могут быть похищены и надежно хранятся на устройстве, поэтому даже если злоумышленники украдут файлы cookie, они не смогут получить доступ к учетным записям жертвы.
«Привязывая сеансы аутентификации к устройству, DBSC стремится подорвать индустрию хищения файлов cookie, поскольку их кража более не будет приносить никакой пользы, — рассказывает Кристиан Монсен (Kristian Monsen), инженер из команды по борьбе со злоупотреблениями в Google Chrome. — Мы считаем, что это значительно снизит эффективность вредоносных программ для кражи файлов cookie. Злоумышленники будут вынуждены действовать локально, что сделает обнаружение и обезвреживание [малвари] на устройстве более эффективными как в случае антивирусного ПО, так и в случае с корпоративными устройствами».
Пока DBSC находится на стадии прототипа, однако Google сообщает, что функцию уже можно протестировать. Для этого понадобится зайти в chrome://flags/ и установить флаг enable-bound-session-credentials.
DBSC позволяет серверу начать новую сессию с браузером пользователя и связывает ее с публичным ключом, хранящимся на устройстве, используя специальный API. Каждый сеанс имеет уникальный ключ, а сервер получает только публичный ключ, который впоследствии используется для верификации. Утверждается, что DBSC не позволяет сайтам отслеживать разные сессии пользователя на одном устройстве, а созданные ключи можно удалить в любой момент.
Ожидается, что на начальном этапе новая функция будет поддерживаться примерно половиной всех десктопов с Chrome на борту. А когда DBSC будет развернута полностью, защита заработает для обычных и корпоративных пользователей автоматически.
«Также мы уже работаем над внедрением этой технологии для наших клиентов Google Workspace и Google Cloud, чтобы предоставить им еще один уровень безопасности аккаунтов», — добавляет Монсен.