Salı günü Google, Chrome'da Cihaza Bağlı Oturum Kimlik Bilgileri adı verilen yeni bir özelliği denediğini söyledi (DBSC) kullanıcıların kötü amaçlı yazılımlar tarafından oturum çerezi hırsızlığına karşı korunmasına yardımcı olmak için.
Teknoloji devinin Chromium ekibi, şu anda Chrome Beta çalıştıran “bazı” Google Hesabı kullanıcılarına karşı test edilen prototipin, onu açık bir web standardı haline getirmek amacıyla oluşturulduğunu söyledi.
Şirket, “Kimlik doğrulama oturumlarını cihaza bağlayarak, DBSC, bu çerezleri dışarı çıkarmanın artık hiçbir değeri olmayacağından çerez hırsızlığı sektörünü altüst etmeyi amaçlıyor” dedi.
“Bunun, çerez hırsızlığı yapan kötü amaçlı yazılımların başarı oranını önemli ölçüde azaltacağını düşünüyoruz. Saldırganlar, cihaz üzerinde yerel olarak hareket etmek zorunda kalacak, bu da hem anti-virüs yazılımı hem de kurumsal olarak yönetilen cihazlar için cihaz üzerinde tespit ve temizlemeyi daha etkili hale getirecek. “
Bu gelişme, kötü amaçlı yazılım çalan kullanıma hazır bilgilerin, tehdit aktörlerinin çok faktörlü kimlik doğrulama (MFA) korumasını atlamasına ve çevrimiçi hesaplara yetkisiz erişim elde etmesine olanak tanıyacak şekilde çerezleri çalmanın yollarını bulduğu yönündeki raporların ardından geldi.
Bu tür oturum ele geçirme teknikleri yeni değil. Ekim 2021'de, Google'ın Tehdit Analiz Grubu (TAG), hesaplarını ele geçirmek ve kripto para birimi dolandırıcılığı yapmak amacıyla erişimden para kazanmak için çerez çalan kötü amaçlı yazılımlara sahip YouTube içerik oluşturucularını hedef alan bir kimlik avı kampanyasını ayrıntılarıyla anlattı.
Bu Ocak ayının başlarında CloudSEK, Lumma, Rhadamanthys, Stealc, Meduza, RisePro ve WhiteSnake gibi bilgi hırsızlarının kullanıcı oturumlarını ele geçirmek ve şifre sıfırlandıktan sonra bile Google hizmetlerine sürekli erişime izin vermek için yeteneklerini güncellediklerini açıkladı.
Google o dönemde The Hacker News'e “çerezleri ve belirteçleri çalan kötü amaçlı yazılımları içeren saldırılar yeni değil; bu tür tekniklere karşı savunmamızı düzenli olarak yükseltiyoruz ve kötü amaçlı yazılımların kurbanı olan kullanıcıların güvenliğini sağlıyoruz” demişti.
Ayrıca, kimlik avı ve kötü amaçlı yazılım indirmelerine karşı koruma sağlamak için kullanıcılara Chrome web tarayıcısında Gelişmiş Güvenli Taramayı etkinleştirmeleri önerildi.
DBSC, oturumları cihaza bağlayan ve böylece saldırganların çalınan çerezleri kötüye kullanmasını ve hesapları ele geçirmesini zorlaştıran bir kriptografik yaklaşım getirerek bu tür kötü niyetli çabaları azaltmayı amaçlıyor.
Bir API aracılığıyla sunulan yeni özellik, bunu, bir sunucunun, yeni bir oturum başlatıldığında bir oturumu, tarayıcı tarafından genel/özel anahtar çiftinin parçası olarak oluşturulan bir genel anahtarla ilişkilendirmesine izin vererek başarır.
Anahtar çiftinin, Güvenilir Platform Modülleri (TPM'ler) kullanılarak cihazda yerel olarak depolandığını belirtmekte fayda var. Ek olarak, DBSCI API, oturumun aynı cihazda aktif olduğundan emin olmak için sunucunun, oturum ömrü boyunca özel anahtara sahip olunduğunun kanıtını doğrulamasına izin verir.
Google'dan Kristian Monsen ve Arnar Birgisson, “DBSC, bir oturumun soyutlanmasının arkasında web sitelerine bu tür anahtarların ömrünü kontrol etmek için bir API ve bu anahtarlara sahip olunduğunu web sitesinin sunucularına periyodik ve otomatik olarak kanıtlamak için bir protokol sunuyor.” dedi.
“Her oturum için ayrı bir anahtar vardır ve iki farklı oturum anahtarının bir cihazdan geldiğini tespit etmek mümkün olmamalıdır. Özel anahtarı cihaza bağlayarak ve uygun aralıklarla kanıtlayarak, tarayıcı, kötü amaçlı yazılımın, Kötüye kullanımı kullanıcının cihazından uzaklaştırarak tarayıcının veya sunucunun çerez hırsızlığını tespit edip azaltma şansını önemli ölçüde artırıyor.”
Önemli uyarılardan biri, DBSC'nin kullanıcı cihazlarında güvenli bir imza atma yöntemine sahip olması ve özel anahtarların kötü amaçlı yazılımların sızmasına karşı korunmasıdır; bu da web tarayıcısının TPM'ye erişiminin olmasını gerektirir.
Google, DBSC desteğinin başlangıçta Chrome'un masaüstü kullanıcılarının kabaca yarısına, makinelerinin donanım özelliklerine bağlı olarak sunulacağını söyledi. En son projenin aynı zamanda şirketin, Özel Korumalı Alan girişimi yoluyla tarayıcıdaki üçüncü taraf çerezlerini yıl sonuna kadar kullanımdan kaldırmaya yönelik daha geniş planlarıyla da uyumlu olması bekleniyor.
“Bunun amacı, üçüncü taraf çerezleri kullanımdan kaldırıldığında DBSC'nin yeni bir izleme vektörü haline gelmemesini sağlamak ve aynı zamanda bu tür çerezlerin bu arada tamamen korunabilmesini sağlamaktır” dedi. “Kullanıcı belirli bir site için çerezleri, üçüncü taraf çerezlerini veya çerezleri tamamen devre dışı bırakırsa bu, bu senaryolarda da DBSC'yi devre dışı bırakacaktır.”
Şirket ayrıca, DBSC'ye ilgi duyduğunu belirten çeşitli sunucu sağlayıcıları, kimlik sağlayıcıları (IdP'ler) ve Microsoft Edge ve Okta gibi tarayıcı satıcılarıyla da iletişim halinde olduğunu belirtti. Desteklenen tüm web siteleri için DBSC'nin kaynak denemeleri yıl sonuna kadar başlayacak.