Google, Chrome kullanıcılarını çerez hırsızlığına karşı korumak için Cihaza Bağlı Oturum Kimlik Bilgilerinin (DBSC) kullanıma sunulduğunu duyurdu.
Ocak ayında bilgisayar korsanlarının, bilgi hırsızı kötü amaçlı yazılımla kimlik doğrulama çerezlerini çalarak çok faktörlü kimlik doğrulamayı (MFA) atlayarak Google hesaplarına yetkisiz erişim sağlamanın bir yolunu nasıl bulduğunu bildirmiştik. Bir kullanıcı oturum açarak kim olduğunu kanıtladıktan sonra bir web tarayıcısına bir kimlik doğrulama çerezi eklenir. Bu çerez, bir web sitesine, bir kullanıcının zaten giriş yaptı, böylece kullanıcı adları ve şifreleri tekrar tekrar istenmez. Bir web sitesi için kimlik doğrulama çerezi kullanan bir siber suçlunun şifreye ihtiyacı yoktur çünkü web sitesi onun zaten giriş yapmış olduğunu düşünür. Hesap sahibinin şifresini değiştirmesi bile önemli değildir.
O sırada Google harekete geçeceğini söyledi:
“Bu tür tekniklere karşı savunmamızı düzenli olarak geliştiriyor ve kötü amaçlı yazılımların kurbanı olan kullanıcıların güvenliğini sağlıyoruz. Bu durumda Google, tespit edilen güvenliği ihlal edilmiş hesapların güvenliğini sağlamak için harekete geçti.”
Ancak bazı bilgi hırsızlarının, Google'ın sahtekarlık tespit önlemlerine karşı koymak için yöntemlerini güncelledikleri bildirildi.
Kötü amaçlı yazılımın kimlik doğrulama çerezlerini çalıp bunları bir suçluya gönderebileceği fikri Google'ın pek hoşuna gitmedi. Duyurusunda şunu açıklıyor: “Çerezlerin ve işletim sistemlerinin, özellikle masaüstü işletim sistemlerinde etkileşimde bulunma şekli nedeniyle, Chrome ve diğer tarayıcılar, onları, tarayıcının kendisi ile aynı erişim düzeyine sahip olan kötü amaçlı yazılımlara karşı koruyamaz.”
Bu yüzden başka bir çözüme yöneldi. Ve eğer çözümün basitliği onun etkinliğinin bir göstergesiyse, o zaman bu iyi bir çözüm olmalıdır.
Kimlik doğrulama çerezinin kullanımını, onu ilk oluşturan cihazla sınırlamak için kriptografi kullanarak çalışır. Bir kullanıcı bir web sitesini ziyaret ettiğinde ve bir oturum başlattığında, tarayıcı biri genel, biri özel olmak üzere iki şifreleme anahtarı oluşturur. Özel anahtar, dışa aktarımı zor olacak şekilde cihazda saklanır ve genel anahtar, web sitesine verilir. Web sitesi, kimlik doğrulama çerezini kullanan tarayıcının özel anahtara sahip olduğunu doğrulamak için genel anahtarı kullanır. Çalınan bir çerezi kullanmak için bir hırsızın aynı zamanda özel anahtarı da çalması gerekir; dolayısıyla “dışa aktarılması zor” biti ne kadar sağlam olursa çerezleriniz o kadar güvenli olur.
Google, duyurusunda bunun çerez hırsızlığı yapan kötü amaçlı yazılımların başarı oranını önemli ölçüde azaltacağını düşündüğünü belirtti. Bu, saldırganları bir cihaz üzerinde yerel olarak hareket etmeye zorlar; bu da, hem kötü amaçlı yazılımdan koruma yazılımı hem de kurumsal olarak yönetilen cihazlar için cihaz üzerindeki tespit ve temizlemeyi daha etkili hale getirir.
Bu nedenle Cihaza Bağlı Oturum Kimlik Bilgileri, Google'ın üçüncü taraf çerezlerini aşamalı olarak kaldırma stratejisine iyi uyum sağlar.
Projenin geliştirilmesi, DBSC'nin açık bir web standardı haline gelmesi hedefiyle Github'da açık olarak yapılıyor. Hedef, 2024 yılı sonuna kadar tamamen çalışan bir deneme sürümünün hazır hale getirilmesi. Google, Okta gibi kimlik sağlayıcıların ve Microsoft Edge gibi tarayıcıların, kullanıcılarını çerez hırsızlığına karşı güvence altına almak istedikleri için DBSC'ye ilgi duyduklarını ifade ediyor.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes'i bugün indirerek tehditleri cihazlarınızdan uzak tutun.