Google, çerezleri belirli bir cihaza bağlayan 'Cihaz Bağlı Oturum Kimlik Bilgileri' adlı yeni bir Chrome Güvenlik özelliği duyurdu ve bilgisayar korsanlarının kullanıcıların hesaplarını kaçırması için bunları çalmasını ve kullanmasını engelledi.
Çerezler, web sitelerinin göz atma bilgilerinizi ve tercihlerinizi hatırlamak ve sizi otomatik olarak bir hizmet veya web sitesine kaydetmek için kullandığı dosyalardır. Bu çerezler, bir hizmete giriş yaptıktan ve çok faktörlü kimlik doğrulamalarını doğruladıktan sonra oluşturulur ve gelecekteki girişlerde çok faktörlü kimlik doğrulama (MFA) atlamalarına izin verir.
Ne yazık ki, saldırganlar bu çerezleri çalmak için kötü amaçlı yazılım kullanır, böylece bağlantılı hesapları kaçırma istemlerini atlatır.
Bu sorunu çözmek için Google, saldırganların kimlik doğrulama çerezlerinizi cihazınıza kriptografik olarak bağlayarak çerezlerinizi çalmasını imkansız hale getiren Cihaz Bağlı Oturum Kimlik Bilgileri (DBSC) adlı yeni bir özellik üzerinde çalışıyor.
DBSC'yi etkinleştirdikten sonra, kimlik doğrulama işlemi, cihazınızın güvenilir platform modülü (TPM) yongası kullanılarak oluşturulan ve cihazınızda güvenli bir şekilde depolanan belirli bir yeni genel/özel anahtar çiftiyle bağlantılıdır, bu nedenle bir saldırgan çalsa bile Çerezler, hesaplarınıza erişemezler.
Google'ın Chrome Counter Inature ekibinde bir yazılım mühendisi Kristian Monsen, "DBSC, cihaza kimlik doğrulama oturumlarını bağlayarak, çerez hırsızlığı endüstrisini bozmayı amaçlıyor, çünkü bu çerezleri püskürtmek artık herhangi bir değere sahip olmayacak." Dedi.
"Bunun çerez hırsızlığı kötü amaçlı yazılımların başarı oranını önemli ölçüde azaltacağını düşünüyoruz. Saldırganlar, hem anti-virüs yazılımı hem de kurumsal yönetilen cihazlar için cihazda tespit ve temizlemeyi daha etkili hale getiren cihazda yerel olarak hareket etmeye zorlanacaklardır. . "
Hala prototip aşamasındayken, Google tarafından paylaşılan bu tahmini zaman çizelgesine göre, chrome'a giderek DBSC'yi test edebilirsiniz: // flags/ve "Enable-Bound-Session-Predtients" adlı bayrak Windows, Linux ve MacOS'ta Krom tabanlı web tarayıcıları.
DBSC, bir sunucunun tarayıcınızla yeni bir oturum başlatmasına izin vererek çalışır ve özel bir API (Uygulama Programlama Arabirimi) kullanarak cihazınızda depolanan bir genel anahtarla ilişkilendirir.
Her oturum, gizliliğinizi korumak için benzersiz bir anahtarla desteklenir, sunucu yalnızca daha sonra mülkiyeti doğrulamak için kullanılan genel anahtarı alır. DBSC, sitelerin sizi aynı cihazdaki farklı oturumlar boyunca izlemesini sağlamaz ve oluşturduğu anahtarları istediğiniz zaman silebilirsiniz.
Bu yeni güvenlik yeteneğinin başlangıçta tüm Chrome masaüstü cihazlarının yaklaşık yarısı tarafından desteklenmesi bekleniyor ve Chrome'daki üçüncü taraf çerezlerin aşamalı olarak tamamen hizalanacak.
Monsen, "Tamamen dağıtıldığında, tüketiciler ve kurumsal kullanıcılar, Google hesapları için Hood altındaki yükseltilmiş güvenlik alacaklar."
"Ayrıca Google Workspace ve Google Cloud müşterilerimiz için bu teknolojiyi başka bir hesap güvenliği katmanı sağlamasını sağlamak için çalışıyoruz."
Son aylarda, tehdit aktörleri, daha önce çalınanların süresi dolduktan sonra yeni kimlik doğrulama çerezleri oluşturmak için belgesiz Google OAuth "Multilogin" API uç noktasını kötüye kullanıyorlar.
Daha önce, BleepingComputer, Lumma ve Rhadamanthys bilgi çalan kötü amaçlı yazılım işlemlerinin, saldırılarda çalınan süresi dolmuş Google kimlik doğrulama çerezlerinin geri yüklenebileceğini iddia ettiğini bildirdi.
O sırada Google, kullanıcılara cihazlarından herhangi bir kötü amaçlı yazılım kaldırmalarını ve Chrome'da gelişmiş güvenli taramayı kimlik avı ve kötü amaçlı yazılım saldırılarına karşı savunmasını önermesini önerdi.
Bununla birlikte, bu yeni özellik, tehdit aktörlerinin bu çalınan çerezleri kötüye kullanmasını etkili bir şekilde engelleyecektir, çünkü bunları kullanmak için gerekli olan kriptografik anahtarlara erişemeyeceklerdir.
Google, PWN2OWN 2024'te sömürülen krom sıfır günlerini düzeltiyor
Google, 136 milyon kullanıcının krom göz atma verilerini silmeyi kabul ediyor
Microsoft, Chrome kullanıcılarını Windows'ta Bing Popup reklamları ile rahatsız ediyor
Google Chrome, bu ayın sonlarında gerçek zamanlı kimlik avı koruması alıyor
Google geçen yıl 10 milyon dolar Bug Bounty Ödülleri ödedi
Kaynak: Bleeping Computer