Компания Google добавила в версию браузера Chrome 146 для операционной системы Windows новую технологию под названием Device Bound Session Credentials (DBSC). Это решение призвано обезопасить пользователей от хищения cookie-файлов сессий с помощью вредоносных программ. Суть метода заключается в криптографической привязке активного сеанса к аппаратной части компьютера. В результате даже если хакеры добудут аутентификационные данные, они не смогут их применить. Владельцы устройств на macOS получат аналогичную защиту в одном из следующих обновлений браузера.
Как работает аппаратная привязка и почему это меняет правила игры
Принцип работы DBSC, о котором разработчики объявили еще в 2024 году, строится на взаимодействии с чипами безопасности. В Windows это модуль Trusted Platform Module (TPM), а в macOS - Secure Enclave. Эти компоненты генерируют уникальные пары ключей (открытые и закрытые) для шифрования информации, причем закрытый ключ невозможно скопировать или выгрузить с устройства. Выдача новых краткосрочных сессионных cookie происходит только после того, как браузер докажет серверу, что у него есть соответствующий приватный ключ. Если злоумышленник завладеет cookie без этого ключа, они почти моментально утратят актуальность и станут бесполезны.
Для понимания важности нововведения стоит вспомнить механизм работы сессионных cookie. Это, по сути, аутентификационные токены, которые сервер создает после ввода логина и пароля. Они позволяют человеку не вводить учетные данные при каждом визите на сайт. Именно эту особенность эксплуатируют киберпреступники, используя специальные вирусы (так называемые инфостилеры) для кражи токенов.
В Google отмечают, что подобные программы, например LummaC2, становятся все более хитроумными. Получив доступ к компьютеру жертвы, такое ПО может читать локальные файлы и память, где браузеры складируют cookie аутентификации. И, как признают разработчики, чисто программными методами надежно предотвратить такую кражу практически невозможно.
Протокол DBSC решает эту проблему иначе. Он требует минимального объема данных для обмена (лишь публичный ключ для подтверждения прав, который не раскрывает идентификаторы устройства). Каждая сессия защищается отдельным ключом, что не позволяет веб-сайтам отслеживать перемещения пользователя между разными сеансами.
Результаты тестирования и внедрение для владельцев сайтов
Google тестировала раннюю версию DBSC совместно с несколькими веб-платформами, включая Okta. В ходе испытаний было зафиксировано заметное сокращение числа краж сессий. Данный протокол создавался в партнерстве с корпорацией Microsoft как открытый веб-стандарт. Многие эксперты в области веб-безопасности уже дали ему положительную оценку.
Владельцы сайтов могут перейти на более защищенные сессии с аппаратной привязкой. Для этого необходимо добавить специальные точки регистрации и обновления в свою серверную часть (бэкенд), при этом совместимость с существующей клиентской частью (фронтендом) сохранится. Полные спецификации доступны на сайте консорциума W3C, а подробные инструкции по внедрению опубликованы в документации Google и на GitHub.
Мнение редакции Mr.Android
Это действительно прорывное решение, поскольку оно атакует саму основу работы инфостилеров. Раньше защита строилась на том, чтобы не пустить вредоносное ПО на устройство. Теперь Google заявляет: "Даже если вирус проник и украл cookie, вы все равно в безопасности". Аппаратная привязка через TPM делает украденные данные бесполезными без "родного" компьютера. Отдельно радует, что технология разработана как открытый стандарт вместе с Microsoft, что обещает ее широкое внедрение. Единственный минус на текущий момент - это эксклюзивность для Windows (пользователям macOS придется подождать) и требование наличия чипа TPM на устройстве. Но для новых ПК это уже не проблема. Для понимания, кража cookie - один из самых популярных способов "угона" аккаунтов мессенджеров.