Компания Google внедрила защиту Device Bound Session Credentials (DBSC) в Chrome 146 для Windows, предназначенную для предотвращения кражи сессионных файлов куки вредоносным ПО, собирающим данные.
Пользователи macOS получат эту функцию безопасности в одном из будущих релизов Chrome, который пока не был анонсирован.
Новая защита была представлена в 2024 году и работает за счет криптографической привязки пользовательской сессии к конкретному оборудованию, например к защитному чипу компьютера — Trusted Platform Module (TPM) в Windows и Secure Enclave в macOS.
Поскольку уникальные открытые и закрытые ключи для шифрования и расшифровки чувствительных данных генерируются внутри защитного чипа, их невозможно экспортировать с устройства.
Взаимодействие браузера и сервера в рамках протокола DBSC (источник: Google)
Это предотвращает использование украденных данных сессии злоумышленником, так как защищающий их уникальный закрытый ключ не может быть извлечен из устройства.
В заявлении компании говорится:
Выдача новых сессионных файлов куки зависит от того, может ли Chrome подтвердить наличие соответствующего закрытого ключа перед сервером.
Без этого ключа любой перехваченный файл сессионной куки быстро истекает и практически сразу становится бесполезным для злоумышленника.
Сессионный файл куки выполняет роль токена аутентификации, как правило имеет более длительный срок действия, и создается на стороне сервера на основе имени пользователя и пароля.
Сервер использует сессионный cookie для идентификации и отправляет его в браузер, который затем передает его при обращении к онлайн-сервису.
Поскольку такие куки позволяют проходить аутентификацию без повторного ввода учетных данных, злоумышленники используют специализированное вредоносное ПО для их сбора – инфостилеры.
По словам Google, несколько семейств инфостилеров, включая LummaC2, «становятся все более продвинутыми в сборе этих учетных данных», что позволяет хакерам получать доступ к аккаунтам пользователей.
Google заявляет:
Ключевой момент заключается в том, что как только сложное вредоносное ПО получает доступ к устройству, оно может читать локальные файлы и память, где браузеры хранят аутентификационные куки. В результате не существует надежного способа предотвратить их извлечение исключительно программными средствами ни в одной ОС.
Протокол DBSC изначально разработан с учетом конфиденциальности: каждая сессия использует отдельный ключ. Это не позволяет сайтам сопоставлять активность пользователя между разными сессиями или сайтами на одном устройстве.
Кроме того, протокол предполагает минимальный обмен данными: используется только публичный ключ конкретной сессии, необходимый для подтверждения владения, и не передаются идентификаторы устройства.
В течение года тестирования ранней версии DBSC в партнерстве с рядом веб-платформ, включая Okta, Google зафиксировала заметное снижение числа случаев кражи сессий.
Google совместно с Microsoft разработал протокол DBSC как открытый веб-стандарт, при участии специалистов по безопасности из разных компаний отрасли.
Веб-сайты могут перейти на более безопасные сессии с привязкой к устройству, добавив на сервер отдельные конечные точки для регистрации и обновления, без потери совместимости с существующим фронтендом.
Разработчики могут воспользоваться руководством Google для внедрения DBSC. Спецификации доступны на сайте консорциума W3C, а поясняющие материалы опубликованы на GitHub.
Обновления программ, что нового
• Яндекс представил платформу ATS – ИИ-агенты продолжают работу даже при обрывах связи
• Android получит локальное резервное копирование фото и видео на ПК
• Google защитил сессии в Chrome от кражи с помощью технологии DBSC
• Пользователи жалуются на усиление блокировки Telegram – доля неудачных запросов достигла 100%
• Gmail на Android и iOS получил шифрование CSE, но только для Enterprise Plus
• Обновление iOS 26.4.1: исправление синхронизации iCloud и усиление защиты iPhone