Google Chrome dobija novu funkciju

0
707
Google Chrome

Google je najavio novu bezbednosnu funkciju Chrome-a pod nazivom „Device Bound Session Credentials“ koja povezuje kolačiće sa određenim uređajem, sprečavajući hakere da ih ukradu i koriste za otmicu naloga korisnika.

Kolačići su mali fajlovi koje veb sajtovi automatski kreiraju, između ostalog, za autentifikaciju korisnika i naloga, prikupljanje analitičkih podataka i personalizovanje onlajn oglasa.

Kolačići se kreiraju nakon što se prijavite na veb sajtove i verifikujete višefaktorsku autentifikaciju, omogućavajući im da zaobiđu višefaktorsku autentifikaciju (MFA) u budućim prijavama.

Nažalost, hakeri koriste različite malvere da ukradu kolačiće za autentifikaciju iz pretraživača na uređaju. Krađa kolačića se dešava nakon prijavljivanja, tako da se zaobilazi MFA i sve druge provere u vreme prijave. To omogućava hakerima da otimaju povezane naloge.

Takav napad je teško ublažiti antivirusnim softverim jer ukradeni kolačići nastavljaju da rade čak i nakon što je malver otkriven i uklonjen. A zbog načina na koji kolačići i operativni sistemi komuniciraju, prvenstveno na operativnim sistemima za desktop računare, Google Chrome i drugi pretraživači ne mogu da ih zaštite od malvera koji ima isti nivo pristupa kao i sam pregledač.

Device Bound Session Credentials (DBSC)

Da bi rešio ovaj problem, Google radi na novoj funkciji pod nazivom Device Bound Session Credentials (DBSC) koja sprečava napadače da ukradu vaše kolačiće kriptografskim povezivanjem kolačića za autentifikaciju za vaš uređaj.

Nakon omogućavanja DBSC-a, proces autentifikacije je povezan sa određenim novim parom javnih/privatnih ključeva generisanim pomoću Trusted Platform Module (TPM) čipa uređaja koji se ne može eksfiltrirati i bezbedan je na vašem uređaju, pa čak i ako vam napadači ukradu kolačiće, neće moći da pristupe vašim nalozima.

„Vezivanjem sesija autentikacije za uređaj, DBSC ima za cilj da poremeti industriju krađe kolačića jer eksfiltriranje ovih kolačića više neće imati nikakvu vrednost“, rekao je Kristian Monsen, softverski inženjer u Google-ovom timu za borbu protiv zloupotrebe Chrome-a. „Mislimo da će ovo značajno smanjiti stopu uspeha malvera koju kradu kolačiće. Napadači bi bili primorani da deluju lokalno na uređaju, što detekciju i čišćenje na uređaju čini efikasnijim, kako za antivirusni softver, tako i za uređaje kojima upravlja preduzeće.“

Dok je još uvek u fazi testiranja možete testirati DBSC tako što ćete otići na chrome://flags/ i omogućiti „enable-bound-session-credentials“..

„Radimo na tome da omogućimo ovu tehnologiju našim korisnicima Google Workspace-a i Google Cloud-a kao još jedan nivo bezbednosti naloga“, rekao je Monsen.

LEAVE A REPLY

Please enter your comment!
Please enter your name here