گوگل از عرضه عمومی ویژگی امنیتی Device Bound Session Credentials (DBSC) خبر داد؛ فناوری جدیدی که با هدف مقابله با سرقت کوکی نشست و جلوگیری از دسترسی غیرمجاز به حسابهای کاربری توسعه یافته است. این قابلیت که نخستین بار در سال 2024 معرفی شد، با اتصال رمزنگاریشده کوکیهای نشست به سختافزار دستگاه، مانع سوءاستفاده مهاجمان از سرقت کوکی نشست برای دور زدن احراز هویت چندعاملی (MFA) و دسترسی به حساب کاربران میشود.
عملکرد DBSC برای محافظت از حسابهای کاربری
DBSC با ایجاد یک اتصال رمزنگاریشده میان نشست کاربر و سختافزار دستگاه عمل میکند. این فناوری از ماژول پلتفرم مورد اعتماد (Trusted Platform Module – TPM) در ویندوز و محیط امن اپل (Secure Enclave) در مکاواس برای اعتبارسنجی نشستهای کاربری بهره میبرد.
در این سازوکار، کلیدهای عمومی و خصوصی مورد استفاده برای رمزنگاری و رمزگشایی دادههای حساس، مستقیماً توسط ماژولهای امنیتی دستگاه تولید میشوند. از آنجا که این کلیدها از دستگاه خارج نمیشوند، امکان استخراج یا سرقت آنها وجود ندارد. در نتیجه، حتی اگر مهاجمان به کوکیهای نشست دسترسی پیدا کنند، بدون در اختیار داشتن کلیدهای رمزنگاری مرتبط با همان دستگاه قادر به استفاده از آنها نخواهند بود؛ موضوعی که سوءاستفاده از سرقت کوکی نشست را به شکل قابل توجهی دشوارتر میکند.
لایه دفاعی جدید در برابر سرقت کوکی نشست با تکنولوژی DBSC
به گفته گوگل، DBSC رویکرد دفاعی وب را از شناسایی تهدید پس از وقوع حمله به پیشگیری از سوءاستفاده تغییر میدهد. به بیان دیگر، حتی اگر مهاجمان موفق شوند کوکیهای نشست را از یک سیستم آلوده استخراج کنند، این اطلاعات روی دستگاه دیگری قابل استفاده نخواهد بود؛ زیرا به سختافزار همان دستگاهی وابسته است که کاربر با آن احراز هویت شده است.
به گفته گوگل، این ویژگی امنیت حسابهای کاربری را حتی پس از ورود کاربر نیز تقویت میکند. در نتیجه، حتی اگر بدافزار رباینده اطلاعات (InfoStealer) روی دستگاه قربانی فعال باشد، احتمال موفقیت حملات مبتنی بر سرقت کوکی نشست کاهش مییابد و سوءاستفاده از کوکیهای سرقتشده برای دسترسی غیرمجاز به حسابهای کاربری دشوارتر خواهد شد.
این قابلیت اکنون برای تمامی مشتریان Google Workspace، مشترکان Workspace Individual و دارندگان حسابهای شخصی گوگل در حال انتشار است. همچنین گوگل اعلام کرده که این ویژگی برای مشتریان Google Workspace بهصورت پیشفرض فعال خواهد شد و مدیران سامانه نیز امکان غیرفعالسازی آن را نخواهند داشت؛ اقدامی که میتواند امنیت سازمانها را در برابر سرقت کوکی نشست و سایر تهدیدات مبتنی بر نشستهای کاربری افزایش دهد.
مسدودسازی سوءاستفاده از کوکیهای سرقتشده
در سالهای گذشته، برخی مهاجمان از Google OAuth MultiLogin برای تولید مجدد کوکیهای احراز هویت پس از منقضی شدن آنها سوءاستفاده میکردند. این روش به آنها اجازه میداد حتی پس از پایان اعتبار کوکیهای سرقتشده، دسترسی خود را حفظ کنند.
از سوی دیگر، عاملان بدافزارهای رباینده اطلاعات مانند Lumma و Rhadamanthys نیز ادعا کرده بودند که میتوانند کوکیهای احراز هویت گوگل را بازیابی کرده و از آنها برای دسترسی مجدد به حساب کاربران استفاده کنند.
گوگل پیشتر به کاربران توصیه کرده بود برای مقابله با حملات فیشینگ و بدافزارها، قابلیت حفاظت پیشرفته (Enhanced Safe Browsing) را در مرورگر کروم فعال کنند. با این حال، DBSC یک لایه دفاعی جدید به این سازوکار اضافه میکند؛ زیرا مهاجمان بدون دسترسی به کلیدهای رمزنگاری مرتبط با دستگاه، قادر به استفاده از کوکیهای سرقتشده نخواهند بود. همین موضوع سوءاستفاده از سرقت کوکی نشست را بهمراتب دشوارتر از گذشته میکند.
