Google започва масово внедряване на новата си защита Device Bound Session Credentials (DBSC) в Google Chrome, с цел да намали значително атаките за превземане на акаунти чрез откраднати сесийни бисквитки.
Функцията, която беше обявена през 2024 г. и тествана в бета версия от април, вече се разпространява към всички потребители – включително лични акаунти, Google Workspace клиенти и индивидуални абонаменти.
Какво представлява DBSC
DBSC променя начина, по който се защитават сесиите в уеб, като криптографски “заключва” сесийните бисквитки към конкретно устройство, вместо те да могат да се използват свободно.
Това означава, че дори ако нападател открадне сесийна бисквитка, тя няма да може да бъде използвана на друго устройство.
Системата разчита на хардуерна защита като:
- Trusted Platform Module (TPM) в Windows устройства
- Secure Enclave в macOS устройства
Криптографските ключове се генерират вътре в хардуера и не напускат устройството, което прави кражбата им практически невъзможна.
Защо това е важно
Сесийните бисквитки са малки файлове, които позволяват на сайтовете да “помнят” потребителя след логване. Те обаче често се превръщат в слабо място в сигурността.
Злонамерени програми за кражба на данни (infostealers) и фишинг атаки могат да откраднат тези бисквитки и да заобиколят:
- пароли
- многофакторна автентикация (MFA)
- стандартни механизми за вход
DBSC цели да прекъсне именно този сценарий.
Как работи защитата
Според Google, DBSC:
- генерира уникални криптографски ключове на устройството
- свързва сесията с конкретния хардуер
- прави откраднатите бисквитки неизползваеми извън оригиналното устройство
- намалява риска дори при наличие на зловреден софтуер
С други думи, дори ако атакуващият получи бисквитката, тя няма да “работи” без оригиналния компютър.
Промяна в подхода към сигурността
Google описва DBSC като преход от реактивна към превантивна защита – вместо да се откриват кражби след факта, системата предотвратява възможността откраднатите данни да бъдат използвани.
Компанията посочва, че DBSC:
„подобрява сигурността след влизане в акаунта и прави значително по-трудно използването на откраднати сесийни бисквитки, дори ако има зловреден софтуер на устройството“.
Внедряване
DBSC се активира поетапно за:
- лични Google акаунти
- Google Workspace
- бизнес и образователни клиенти
При Workspace клиентите функцията ще бъде включена по подразбиране и администраторите няма да могат да я изключват.
Какво означава това за реалните атаки
Технологията е насочена към една от най-опасните съвременни техники – кражба на сесии (session hijacking), при която атакуващите не се нуждаят от парола или MFA код.
DBSC прави тези сценарии много по-трудни, защото:
- откраднатата сесия е “заключена” към устройство
- прехвърлянето на сесии между машини става невъзможно
- стойността на откраднатите cookies рязко пада
DBSC не премахва фишинга или зловредния софтуер, но отнема една от най-успешните техники на атакуващите – повторното използване на сесийни бисквитки.
В практическа гледна точка това е сериозна стъпка към модел, при който достъпът до акаунти зависи не само от “кой си”, а и от “на кое устройство си в момента”.
