Google, kullanıcıların çerez hırsızlığından korunmasına yardımcı olacak “Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC)” adlı yeni bir web özelliğini duyurdu.
Kullanıcılardan çerezleri çalan ve saldırganların hesaplarına erişmesine izin veren kötü amaçlı yazılımlar, çevrimiçi ortamda çok sayıda kullanıcıyı etkiler.
Kötü amaçlı yazılım genellikle tüm kimlik doğrulama çerezlerini cihazın tarayıcılarından uzak sunuculara aktararak saldırganların ele geçirilen hesapları derlemesine, düzenlemesine ve pazarlamasına olanak tanır.
Bu tür çerez hırsızlığı, giriş sırasında meydana gelen iki faktörlü kimlik doğrulamayı ve diğer itibar kontrollerini atlayarak, giriş yaptıktan sonra gerçekleşir.
Chrome ve diğer tarayıcılar, özellikle masaüstü işletim sistemlerinde işletim sistemleriyle çerezlerin etkileşim şekli nedeniyle, çerezleri tarayıcının kendisiyle aynı erişim düzeyine sahip kötü amaçlı yazılımlara karşı koruyamaz.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Bu sorunu çözmek için Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) kullanıma sunuldu.
“Kimlik doğrulama oturumlarını cihaza bağlayarak DBSC, bu çerezleri dışarı çıkarmanın artık hiçbir değeri olmayacağından çerez hırsızlığı sektörünü altüst etmeyi amaçlıyor. Bunun çerez hırsızlığı yapan kötü amaçlı yazılımların başarı oranını önemli ölçüde azaltacağını düşünüyoruz” dedi Google.
Saldırganların cihaz üzerinde yerel olarak hareket etmesi, kurumsal yönetimli cihazların yanı sıra anti-virüs yazılımı için cihaz üzerindeki tespit ve temizlemenin etkinliğini artırması gerekecektir.
DBSC Özelliği Kullanıcılarını Çerez Hırsızlığından Korur
DBSC API, bir sunucunun belirli bir tarayıcıya sahip bir cihazda yeni bir oturum kurmasına olanak tanır.
Yeni bir oturum başlatıldığında tarayıcı, özel anahtarı dışa aktarmayı engelleyecek şekilde güvenli bir şekilde saklamak için işletim sistemini kullanarak cihazda yerel olarak yeni bir genel ve özel anahtar kümesi oluşturur.
Anahtar koruması için Chrome, işletim sistemlerinin bütünlüğünü doğrulamayı ve şifreleme anahtarlarını saklamayı amaçlayan Güvenilir Platform Modülleri (TPM'ler) gibi araçlardan yararlanacaktır.
Her oturumun kendi anahtarı olduğundan, DBSC, sitelerin aynı cihazdaki çeşitli oturumlara ait anahtarları ilişkilendirmesini engelleyerek, daha fazla kalıcı kullanıcı izlemesinin uygulanmadığını garanti eder.
Kullanıcı, Chrome ayarlarını kullanarak oluşturulan anahtarları kalıcı olarak kaldırabilir.
“DBSC, tarayıcının bir tür güvenli depolama sunabileceğini düşünmesi dışında cihaz hakkında anlamlı hiçbir bilgi sızdırmıyor. Google, sunucuya gönderilen tek bilginin, sunucunun daha sonra anahtar sahipliğinin kanıtını onaylamak için kullandığı oturum başına genel anahtar olduğunu söyledi.
DBSC, Chrome'un üçüncü taraf çerezlerini aşamalı olarak kaldırmasıyla tamamen uyumlu olacaktır.
Kullanıcı ayarlarına ve diğer kriterlere bağlı olarak DBSC, üçüncü taraf çerezleriyle aynı şekilde üçüncü taraf bağlamlarında mevcut olacak ve/veya bölümlere ayrılacaktır.
Bunun amacı, bu arada üçüncü taraf çerezlerinin yeterince güvence altına alınabilmesini ve bunların aşamalı olarak kaldırılması durumunda DBSC'nin yeni bir izleme vektörü haline gelmemesini sağlamaktır.
Google şu anda Chrome Beta kullanan bazı Google Hesabı kullanıcılarını korumak için bir DBSC prototipini test ediyor.
Tamamen uygulamaya konduktan sonra tüketiciler ve ticari kullanıcılar, Google hesapları için gelişmiş korumaya hemen sahip olacaklar.
İşletme, ekstra düzeyde hesap koruması eklemek amacıyla bu teknolojiyi tüm Google Workspace ve Google Cloud müşterileri için de etkinleştirmeyi planlıyor.
Pek çok sunucu sağlayıcı, Okta gibi kimlik sağlayıcılar (IDP'ler) ve Microsoft Edge gibi tarayıcılar, kullanıcılarını çerez hırsızlığından korumak için DBSC'ye ilgi gösterdi.
Google'a göre, Windows, Linux ve macOS'ta çalışan Chromium tabanlı web tarayıcılarının kullanıcıları, chrome://flags/ adresine giderek ve “enable-bound-session-credentials” özel işaretini etkinleştirerek DBSC'yi test edebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.