Η Google έκανε μια προσθήκη στο Chrome, τη λειτουργία «Device Bound Session Credentials», που συνδέει τα cookies σε μια συγκεκριμένη συσκευή, εμποδίζοντας τους hackers να κλέψουν και να τα χρησιμοποιήσουν για να παραβιάσουν λογαριασμούς.
Τα cookies είναι αρχεία που χρησιμοποιούν οι ιστότοποι για να θυμούνται τις πληροφορίες και τις προτιμήσεις περιήγησης των χρηστών και να τους συνδέουν αυτόματα σε μια υπηρεσία ή ιστότοπο. Αυτά τα cookies δημιουργούνται μετά τη σύνδεση σε μια υπηρεσία και την επαλήθευση με ελέγχους ταυτότητας πολλαπλών παραγόντων (MFA). Έτσι, σε μελλοντικές συνδέσεις, τα cookies μπορούν να παρακάμψουν το (MFA) και γι’ αυτό οι hackers τα “κυνηγούν”.
Συχνά, χρησιμοποιούν κακόβουλο λογισμικό για να κλέψουν τα cookies, και να παραβιάσουν τους συνδεδεμένους λογαριασμούς.
Δείτε επίσης: PayPal: Ενίσχυση ασφάλειας λογαριασμών εντοπίζοντας κλεμμένα super-cookies
Για να λύσει αυτό το πρόβλημα, η Google φέρνει τη δυνατότητα «Device Bound Session Credentials» (DBSC) στο Chrome, που καθιστά αδύνατο για τους εισβολείς να κλέψουν τα cookies σας. Μετά την ενεργοποίηση του DBSC, η διαδικασία ελέγχου ταυτότητας συνδέεται με ένα συγκεκριμένο νέο ζεύγος public/private key που δημιουργείται χρησιμοποιώντας το Trusted Platform Module (TPM) chip της συσκευής σας, το οποίο δεν μπορεί να εξαχθεί και αποθηκεύεται με ασφάλεια στη συσκευή σας. Με αυτόν τον τρόπο, ακόμα κι αν οι hackers κλέψουν cookies, δεν θα έχουν πρόσβαση στους λογαριασμούς σας.
“Πιστεύουμε ότι αυτό θα μειώσει σημαντικά το ποσοστό επιτυχίας του κακόβουλου λογισμικού κλοπής cookies. Οι εισβολείς θα αναγκαστούν να ενεργήσουν τοπικά στη συσκευή, γεγονός που καθιστά τον εντοπισμό και την εκκαθάριση στη συσκευή πιο αποτελεσματική“, είπε μηχανικός της Google.
Δείτε επίσης: Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε τα cookies στο Google Chrome
Η λειτουργία βρίσκεται ακόμα στο prototype phase, αλλά μπορείτε να δοκιμάσετε το DBSC μεταβαίνοντας στη διεύθυνση chrome://flags/ και ενεργοποιώντας το flag “enable-bound-session-credentials” σε Windows, Linux και macOS Chromium-based web browsers.
Το «Device Bound Session Credentials» επιτρέπει σε έναν διακομιστή να ξεκινήσει ένα νέο session με το πρόγραμμα περιήγησής σας και να το συσχετίσει με ένα public key που είναι αποθηκευμένο στη συσκευή σας, χρησιμοποιώντας ένα αποκλειστικό API. Κάθε session υποστηρίζεται από ένα μοναδικό κλειδί για την προστασία του απορρήτου σας, με τον διακομιστή να λαμβάνει μόνο το public key που χρησιμοποιείται για την επαλήθευση της κατοχής αργότερα. Το DBSC δεν επιτρέπει στους ιστότοπους να σας παρακολουθούν σε διαφορετικά sessions στην ίδια συσκευή και μπορείτε να διαγράψετε τα κλειδιά που δημιουργεί ανά πάσα στιγμή.
“Όταν αναπτυχθεί πλήρως, οι καταναλωτές και οι εταιρικοί χρήστες θα λάβουν αυτόματα αναβαθμισμένη ασφάλεια για τους λογαριασμούς Google“, είπε η εταιρεία.
“Εργαζόμαστε, επίσης, για να προσφέρουμε αυτήν την τεχνολογία στους πελάτες μας στο Google Workspace και στο Google Cloud, ώστε να έχουν ένα άλλο επίπεδο ασφάλειας λογαριασμού“.
Δείτε επίσης: Google: Διόρθωσε δύο zero-day ευπάθειες στο Chrome
Η νέα λειτουργία ασφαλείας ‘Device Bound Session Credentials’ της Google Chrome ενισχύει σημαντικά την ασφάλεια των χρηστών. Θα αποκλείσει αποτελεσματικά την κατάχρηση των κλεμμένων cookies, καθώς οι hackers δεν θα έχουν πρόσβαση στα cryptographic keys που απαιτούνται για τη χρήση τους. Αυτό σημαίνει ότι, ακόμη και αν ένας hacker καταφέρει να κλέψει τα cookies ενός χρήστη, δεν θα μπορεί να τα χρησιμοποιήσει για να παραβιάσει τον λογαριασμό του, εκτός και αν έχει πρόσβαση στην ίδια τη συσκευή.
Επιπλέον, η νέα λειτουργία ασφαλείας μπορεί να ενθαρρύνει τους χρήστες να χρησιμοποιούν πιο συχνά την περιήγηση σε incognito mode, καθώς τα cookies δεν αποθηκεύονται μετά το κλείσιμο του session. Αυτό μπορεί, επίσης, να βοηθήσει στην προστασία της ιδιωτικότητας των χρηστών.
Τέλος, είναι σημαντικό να σημειωθεί ότι, παρόλο που η νέα λειτουργία ασφαλείας προσφέρει επιπλέον προστασία, οι χρήστες πρέπει να συνεχίσουν να είναι προσεκτικοί με την ασφάλεια των συσκευών τους, να κάνουν τακτικά ενημερώσεις λογισμικού και να εφαρμόζουν τις βέλτιστες πρακτικές ασφαλείας.
Πηγή: www.bleepingcomputer.com
