Google внедрила в Chrome новую защиту от инфостилеров, которые воруют сессионные cookie и позволяют обходить авторизацию.
Защита Device Bound Session Credentials
В версии Chrome 146 для Windows появилась функция Device Bound Session Credentials (DBSC). Она предназначена для защиты от вредоносного ПО, которое извлекает cookie сессий из браузера.
Поддержка macOS ожидается в будущих релизах. Механизм основан на привязке пользовательской сессии к конкретному устройству. Для этого используются аппаратные модули безопасности, такие как TPM в Windows и Secure Enclave в macOS.
Ключи шифрования генерируются внутри этого модуля и не могут быть экспортированы. В результате даже если cookie украдены, использовать их на другом устройстве невозможно.
Как работает защита
Сервер выдает короткоживущие session cookie только после того, как Chrome подтверждает наличие приватного ключа, связанного с устройством.
Если злоумышленник получает cookie, но не имеет доступа к этому ключу, такие данные быстро становятся бесполезными.
Это устраняет один из ключевых сценариев атак, когда сессионные токены используются для входа без пароля и без повторной аутентификации.
Проблема кражи cookie
Сессионные cookie используются сайтами как токен аутентификации после входа пользователя.
Инфостилеры извлекают эти данные с зараженных устройств и передают их злоумышленникам. После этого атакующий может получить доступ к аккаунту без ввода пароля и даже обходить двухфакторную аутентификацию.
Google отмечает, что при компрометации устройства полностью предотвратить кражу cookie только программными методами невозможно, поэтому используется аппаратная привязка сессии.
Развитие технологии
DBSC разрабатывается как открытый стандарт и уже тестировалась совместно с другими компаниями, включая Microsoft и Okta.
В дальнейшем планируется расширение поддержки устройств и сценариев, включая работу без аппаратных модулей безопасности.
Источник: bleepingcomputer