Новая функция Chrome предотвратит использование украденных куки хакерами

Файлы куки (cookie) используются сайтами для запоминания вашей информации о просмотрах и предпочтений, а также для автоматического входа в сервис или на сайт. Эти куки создаются после того, как вы войдете в сервис и пройдете многофакторную аутентификацию, что позволяет обходить запросы многофакторной аутентификации (MFA) при последующих входах.

Злоумышленники часто используют вредоносное ПО для кражи этих куки, тем самым обходя запросы MFA и взламывая связанные учетные записи.

Чтобы решить эту проблему, Google работает над новой функцией Device Bound Session Credentials (Учетные данные сеанса, привязанные к устройству) в Chrome, которая криптографически связывает аутентификационные куки с устройством и делает их кражу бесполезной.

После включения DBSC процесс аутентификации связывается с конкретной новой парой публичного и приватного ключа, созданной с использованием чипа Доверенного Платформенного Модуля (TPM) вашего устройства, который нельзя извлечь и который безопасно хранится на вашем устройстве. Таким образом, даже если злоумышленник украдет ваши куки, он не сможет получить доступ к вашим учетным записям.

Кристиан Монсен (Kristian Monsen), инженер-программист команды по борьбе с злоупотреблениями Chrome, заявил:

Связывая сеансы аутентификации с устройством, DBSC стремится нарушить деятельность индустрии кражи куки, поскольку извлечение этих куки больше не будет иметь никакой ценности.

Мы считаем, что это существенно снизит успешность вредоносного ПО, ворующего куки. Злоумышленникам придется действовать локально на устройстве, что делает обнаружение и устранение на устройстве более эффективным как для антивирусного ПО, так и для управляемых устройств предприятия.

Функция еще находится на стадии прототипа,но вы уже можете протестировать DBSC, перейдя на страницу chrome://flags/#enable-bound-session-credentials и включив специальный флаг Device Bound Session Credentials в браузерах на Chromium для Windows, Linux и macOS.

DBSC позволяет серверу начать новый сеанс с вашим браузером и связать его с публичным ключом, хранящимся на вашем устройстве, с использованием специального API.

Каждый сеанс поддерживается уникальным ключом для защиты вашей конфиденциальности, при этом сервер получает только публичный ключ, используемый для подтверждения владения. DBSC не позволяет сайтам отслеживать вас между разными сеансами на одном и том же устройстве, и вы можете в любой момент удалить созданные ключи.

Ожидается, что эта новая функция безопасности будет изначально поддерживаться примерно на половине всех настольных устройств Chrome и будет согласована с поэтапным отказом от сторонних куки в Chrome.

Монсен добавил:

Когда функция будет полностью развернута, потребители и корпоративные пользователи автоматически получат улучшенную безопасность для своих учетных записей Google под капотом.

Мы также работаем над внедрением этой технологии для клиентов Google Workspace и Google Cloud, чтобы обеспечить еще один уровень безопасности учетных записей.

В последние месяцы злоумышленники злоупотребляли не задокументированным конечным точкам API Google OAuth «MultiLogin» для генерации новых аутентификационных куки после истечения срока действия ранее украденных.

Кроме того, выяснилось, что вредоносное ПО Lumma и Rhadamanthys может восстановить истекшие аутентификационные куки Google, украденные во время атак.

В то время Google советовал пользователям удалить любое вредоносное ПО с их устройств и рекомендовал включить режим «Улучшенная защита» Безопасного просмотра для защиты от фишинга и атак вредоносного ПО.

Новая функция эффективно заблокирует возможность злоумышленников злоупотреблять этими украденными куки, поскольку у них не будет доступа к криптографическим ключам, необходимым для их использования.