Η νέα λειτουργία του Chrome στοχεύει να σταματήσει τους χάκερ από τη χρήση κλεμμένων cookies

[deniSun]

Η Google ανακοίνωσε μια νέα λειτουργία ασφαλείας του Chrome που συνδέει τα cookies με μια συγκεκριμένη συσκευή, εμποδίζοντας τους χάκερς να τα κλέψουν και να τα χρησιμοποιήσουν για να καταλάβουν τους λογαριασμούς των χρηστών.

Τα cookies είναι αρχεία που χρησιμοποιούν οι ιστότοποι για να θυμούνται τις πληροφορίες περιήγησης και τις προτιμήσεις σας και να σας συνδέουν αυτόματα σε μια υπηρεσία ή έναν ιστότοπο. Αυτά τα cookies δημιουργούνται αφού συνδεθείτε σε μια υπηρεσία και επαληθεύσετε τις πιστοποιήσεις πολλαπλών παραγόντων, επιτρέποντάς τους να παρακάμψουν την πιστοποίηση πολλαπλών παραγόντων (MFA) σε μελλοντικές συνδέσεις.

Δυστυχώς, οι επιτιθέμενοι χρησιμοποιούν κακόβουλο λογισμικό για να κλέψουν αυτά τα cookies, παρακάμπτοντας έτσι τις προτροπές MFA για να καταλάβουν τους συνδεδεμένους λογαριασμούς.

Για την επίλυση αυτού του προβλήματος, η Google εργάζεται πάνω σε μια νέα λειτουργία που ονομάζεται Device Bound Session Credentials (DBSC), η οποία καθιστά αδύνατη την κλοπή των cookies από τους επιτιθέμενους, δεσμεύοντας κρυπτογραφικά τα cookies ελέγχου ταυτότητας στη συσκευή σας.

Μετά την ενεργοποίηση του DBSC, η διαδικασία ελέγχου ταυτότητας συνδέεται με ένα συγκεκριμένο νέο ζεύγος δημόσιου/ιδιωτικού κλειδιού που δημιουργείται με τη χρήση του τσιπ TPM (Trusted Platform Module) της συσκευής σας, το οποίο δεν μπορεί να εξαφανιστεί και αποθηκεύεται με ασφάλεια στη συσκευή σας, οπότε ακόμη και αν ένας επιτιθέμενος κλέψει τα cookies σας, δεν θα μπορέσει να αποκτήσει πρόσβαση στους λογαριασμούς σας.

"Με τη δέσμευση των περιόδων ελέγχου ταυτότητας στη συσκευή, η DBSC στοχεύει να διαταράξει τη βιομηχανία κλοπής cookies, καθώς η απομόνωση αυτών των cookies δεν θα έχει πλέον καμία αξία", δήλωσε ο Kristian Monsen, μηχανικός λογισμικού στην ομάδα της Google Chrome Counter Abuse.

"Πιστεύουμε ότι αυτό θα μειώσει σημαντικά το ποσοστό επιτυχίας του κακόβουλου λογισμικού κλοπής cookies. Οι επιτιθέμενοι θα αναγκαστούν να ενεργήσουν τοπικά στη συσκευή, γεγονός που καθιστά πιο αποτελεσματική την ανίχνευση και τον καθαρισμό στη συσκευή, τόσο για το λογισμικό προστασίας από ιούς όσο και για τις συσκευές που διαχειρίζονται οι επιχειρήσεις".

Αν και βρίσκεται ακόμα σε φάση πρωτοτύπου, σύμφωνα με αυτό το εκτιμώμενο χρονοδιάγραμμα που μοιράστηκε η Google, μπορείτε να δοκιμάσετε το DBSC πηγαίνοντας στο chrome://flags/ και ενεργοποιώντας την ειδική σημαία "enable-bound-session-credentials" σε προγράμματα περιήγησης ιστού που βασίζονται στο Chromium για Windows, Linux και macOS.

Το DBSC λειτουργεί επιτρέποντας σε έναν διακομιστή να ξεκινήσει μια νέα συνεδρία με το πρόγραμμα περιήγησής σας και να τη συσχετίσει με ένα δημόσιο κλειδί που είναι αποθηκευμένο στη συσκευή σας χρησιμοποιώντας ένα ειδικό API (Application Programming Interface).

Κάθε σύνοδος υποστηρίζεται από ένα μοναδικό κλειδί για την προστασία του απορρήτου σας, ενώ ο διακομιστής λαμβάνει μόνο το δημόσιο κλειδί που χρησιμοποιείται για την επαλήθευση της κατοχής αργότερα. Το DBSC δεν επιτρέπει στους ιστότοπους να σας παρακολουθούν σε διαφορετικές συνεδρίες στην ίδια συσκευή και μπορείτε να διαγράψετε τα κλειδιά που δημιουργεί ανά πάσα στιγμή.

Αυτή η νέα δυνατότητα ασφαλείας αναμένεται να υποστηρίζεται αρχικά από περίπου τις μισές από όλες τις επιτραπέζιες συσκευές Chrome και θα ευθυγραμμιστεί πλήρως με τη σταδιακή κατάργηση των cookies τρίτων κατασκευαστών στο Chrome.

"Όταν αναπτυχθεί πλήρως, οι καταναλωτές και οι εταιρικοί χρήστες θα αποκτήσουν αυτόματα αναβαθμισμένη ασφάλεια για τους λογαριασμούς τους Google κάτω από το καπό", πρόσθεσε ο Monsen.

"Εργαζόμαστε επίσης για να ενεργοποιήσουμε αυτή την τεχνολογία για τους πελάτες μας στο Google Workspace και το Google Cloud, ώστε να παρέχουμε ένα ακόμη επίπεδο ασφάλειας των λογαριασμών".

Τους τελευταίους μήνες, φορείς απειλών κάνουν κατάχρηση του μη τεκμηριωμένου τελικού σημείου API "MultiLogin" του Google OAuth για τη δημιουργία νέων cookies ελέγχου ταυτότητας μετά τη λήξη των προηγουμένως κλεμμένων.

Προηγουμένως, το BleepingComputer ανέφερε ότι οι επιχειρήσεις κακόβουλου λογισμικού Lumma και Rhadamanthys που έκλεβαν πληροφορίες ισχυρίζονταν ότι μπορούσαν να επαναφέρουν τα ληγμένα cookies ελέγχου ταυτότητας Google που είχαν κλαπεί σε επιθέσεις.

Τότε, η Google συμβούλευσε τους χρήστες να αφαιρέσουν τυχόν κακόβουλο λογισμικό από τις συσκευές τους και συνέστησε την ενεργοποίηση της Ενισχυμένης Ασφαλούς Περιήγησης στο Chrome για την προστασία από επιθέσεις phishing και κακόβουλου λογισμικού.

Ωστόσο, αυτή η νέα λειτουργία θα εμποδίσει αποτελεσματικά τους φορείς απειλών να κάνουν κατάχρηση αυτών των κλεμμένων cookies, καθώς δεν θα έχουν πρόσβαση στα κρυπτογραφικά κλειδιά που απαιτούνται για τη χρήση τους.

πηγή via DeepL

[newbye]

Την πάτησα πέρσι σαν τον Linus. Έχασα μόνο το λογαριασμό steam που είχα μαζέψει αρκετά games free. Κατάφεραν να μπουν και σε πλατφόρμα που είχα 2fa, ευτυχώς δεν έχασα χρήματα. Το λογισμικό που έκανε τη ζημιά το είχα κατεβάσει από το github .

[minas]

Πολύ χρήσιμο από πλευράς ασφάλειας, αλλά χρήσιμο και από πλευράς συλλογής στοιχείων από την google, εφόσον αποκτά άλλο ένα αξιόπιστο data point για τις συσκευές μας