Google Chrome dobija novu funkciju koja će sprečiti krađu kolačića i otimanje naloga

Vesti, 03.04.2024, 10:30 AM

Google Chrome dobija novu funkciju koja će sprečiti krađu kolačića i otimanje naloga

Google je najavio novu bezbednosnu funkciju Chromea pod nazivom „Device Bound Session Credentials“ koja povezuje kolačiće sa određenim uređajem, sprečavajući hakere da ih ukradu i koriste za otmicu naloga korisnika.

Kolačići su mali fajlovi koje veb sajtovi automatski kreiraju, između ostalog, za autentifikaciju korisnika i naloga, prikupljanje analitičkih podataka i personalizovanje onlajn oglasa.

Kolačići se kreiraju nakon što se prijavite na veb sajtove i verifikujete višefaktorsku autentifikaciju, omogućavajući im da zaobiđu višefaktorsku autentifikaciju (MFA) u budućim prijavama.

Nažalost, hakeri koriste različite malvere da ukradu kolačiće za autentifikaciju iz pretraživača na uređaju. Krađa kolačića se dešava nakon prijavljivanja, tako da se zaobilazi MFA i sve druge provere u vreme prijave. To omogućava hakerima da otimaju povezane naloge.

Takav napad je teško ublažiti antivirusnim softverim jer ukradeni kolačići nastavljaju da rade čak i nakon što je malver otkriven i uklonjen. A zbog načina na koji kolačići i operativni sistemi komuniciraju, prvenstveno na operativnim sistemima za desktop računare, Chrome i drugi pretraživači ne mogu da ih zaštite od malvera koji ima isti nivo pristupa kao i sam pregledač.

Da bi rešio ovaj problem, Google radi na novoj funkciji pod nazivom Device Bound Session Credentials (DBSC) koja sprečava napadače da ukradu vaše kolačiće kriptografskim povezivanjem kolačića za autentifikaciju za vaš uređaj.

Nakon omogućavanja DBSC-a, proces autentifikacije je povezan sa određenim novim parom javnih/privatnih ključeva generisanim pomoću Trusted Platform Module (TPM) čipa uređaja koji se ne može eksfiltrirati i bezbedan je na vašem uređaju, pa čak i ako vam napadači ukradu kolačiće, neće moći da pristupe vašim nalozima.

„Vezivanjem sesija autentikacije za uređaj, DBSC ima za cilj da poremeti industriju krađe kolačića jer eksfiltriranje ovih kolačića više neće imati nikakvu vrednost“, rekao je Kristian Monsen, softverski inženjer u Googleovom timu za borbu protiv zloupotrebe Chromea. „Mislimo da će ovo značajno smanjiti stopu uspeha malvera koju kradu kolačiće. Napadači bi bili primorani da deluju lokalno na uređaju, što detekciju i čišćenje na uređaju čini efikasnijim, kako za antivirusni softver, tako i za uređaje kojima upravlja preduzeće.“

Dok je još uvek u fazi testiranja možete testirati DBSC tako što ćete otići na chrome://flags/ i omogućiti „enable-bound-session-credentials“..

„Radimo na tome da omogućimo ovu tehnologiju našim korisnicima Google Workspacea i Google Clouda kao još jedan nivo bezbednosti naloga“, rekao je Monsen.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje