(Фото Томаса Трутшеля/Photothek через Getty Images)
Кража пароля — это не единственный способ, которым хакер может взломать ваши онлайн-аккаунты. Давно известно, что вредоносное ПО также может воровать файлы cookie браузера, чтобы перехватывать сеансы входа. Теперь Google пытается предотвратить угрозу с помощью новой прототипной функции для браузера Chrome.
Система называется «Device Bound Session Credentials» и будет использовать шифрование, чтобы не дать хакерам перехватить сеансы входа пользователя через такую кражу cookie. Цель проекта — сделать его «открытым веб-стандартом».
Интернет-куки по сути являются текстовыми файлами, которые ваш браузер может использовать для запоминания ваших предпочтений на веб-сайте, включая аутентификацию и поддержание сеанса входа в систему активным. Проблема в том, что куки можно легко украсть, если вредоносное ПО уже скомпрометировало ПК жертвы.
«Подобная кража cookie-файлов происходит после входа в систему, поэтому она обходит двухфакторную аутентификацию и любые другие проверки репутации во время входа в систему», — сказал инженер-программист Google Кристиан Монсен в сообщении в блоге. «Кроме того, ее трудно нейтрализовать с помощью антивирусного программного обеспечения, поскольку украденные cookie-файлы продолжают работать даже после обнаружения и удаления вредоносного ПО».
В ответ Google работает над способом «привязать» файлы cookie аутентификации к ПК пользователя. Для этого компания хочет объединить криптографию с открытым ключом с файлами cookie. Это означает, что когда браузер начинает новый сеанс входа, он создает ключ шифрования локально на ПК, чтобы проверить, что вход является законным на сервере веб-сайта.
Чтобы защитить ключи шифрования, Google хочет хранить их в чипе TPM ПК с Windows, который специально разработан для хранения криптографических ключей и подтверждения целостности операционных систем. Этот же чип также стал требованием для запуска Windows 11.
Затем веб-сайт сможет подтвердить аутентификационный файл cookie, используя API для проверки легитимности ключа шифрования для сеанса входа в систему. «Это гарантирует, что сеанс все еще находится на том же устройстве, применяя его с регулярными интервалами, установленными сервером», — сказал Монсен. «Мы считаем, что это существенно снизит вероятность успеха вредоносного ПО для кражи файлов cookie. Злоумышленники будут вынуждены действовать локально на устройстве, что делает обнаружение и очистку на устройстве более эффективными как для антивирусного программного обеспечения, так и для корпоративных управляемых устройств».
Компания планирует разрабатывать так называемую систему DBSC открыто на GitHub как проект публичного кодирования. И она уже запускает прототип DBSC в качестве эксперимента для защиты некоторых пользователей аккаунтов Google, использующих Chrome Beta.
«Мы ожидаем, что Chrome изначально будет поддерживать DBSC примерно для половины пользователей настольных компьютеров, исходя из текущих аппаратных возможностей пользовательских машин», — сказал Монсен. Однако Google может решить открыть DBSC для всех компьютеров, чтобы запретить веб-сайтам использовать его как способ дискриминации пользователей.
Никаких сроков полного развертывания Chrome не было указано. Но компания планирует запустить больше испытаний DBSC с разработчиками веб-сайтов и пользователями к концу этого года. «Когда он будет полностью развернут, потребители и корпоративные пользователи автоматически получат обновленную защиту для своих учетных записей Google», — сказал Монсен. «Мы также работаем над тем, чтобы включить эту технологию для наших клиентов Google Workspace и Google Cloud, чтобы обеспечить еще один уровень безопасности учетных записей».
Однако одна из проблем, с которой сталкивается проект, касается конфиденциальности, поскольку та же система DBSC может также предоставить веб-сайтам способ отслеживать пользователей через их сеансовые ключи. Но Google утверждает, что разработала технологию, чтобы остановить такое отслеживание. «DBSC не выдает никакой значимой информации об устройстве, кроме того факта, что браузер думает, что оно может предложить некий тип безопасного хранилища. Единственная информация, отправляемая на сервер, — это открытый ключ для каждого сеанса, который сервер использует для подтверждения доказательства владения ключом позже», — добавил Монсен.
На данный момент предложение DBSC получило поддержку от нескольких сторонних компаний. «Многие поставщики серверов, поставщики удостоверений (IdP), такие как Okta, и браузеры, такие как Microsoft Edge, выразили интерес к DBSC, поскольку они хотят защитить своих пользователей от кражи файлов cookie», — добавил Монсен. «Мы взаимодействуем со всеми заинтересованными сторонами, чтобы убедиться, что мы можем представить стандарт, который работает для различных типов веб-сайтов с сохранением конфиденциальности».
