פנקה הריסטובסקה
גוגל פיתחה תכונת אב טיפוס חדשה עבור דפדפן כרום, שמטרתה להילחם בניסיונות פריצה המשתמשים בתוכנה זדונית כדי לגנוב קובצי Cookie של דפדפן ולחטוף חשבונות מקוונים.
הטכנולוגיה החדשה, ששמה "אישורי הפעלה קשורים למכשיר", משתמשת בהצפנה כדי לחסום מהאקרים לחטוף הפעלות כניסה באמצעות גניבת עוגיות.
עוגיות אינטרנט הן קבצי טקסט קטנים המאוחסנים במחשב שלך על ידי דפדפן האינטרנט שלך. הם עוזרים לאתרים לזכור את ההעדפות שלך, כמו פרטי התחברות, כך שלא תצטרך להזין אותם מחדש בכל פעם שאתה מבקר. עם זאת, עוגיות אלה הופכות לפגיעות אבטחה אם האקר מדביק את המחשב שלך בתוכנה זדונית, מכיוון שהם יכולים לגנוב בקלות את העוגיות הללו כדי לגשת לחשבונות המקוונים שלך מבלי להזדקק לסיסמה שלך.
"גניבת עוגיות כזו מתרחשת לאחר הכניסה, אז היא עוקפת אימות דו-שלבי וכל בדיקת מוניטין אחרת בזמן הכניסה", מסביר מהנדס התוכנה של גוגל כריסטיאן מונסן בפוסט בבלוג. "קשה גם להפחית את זה באמצעות תוכנת אנטי-וירוס מכיוון שהעוגיות הגנובות ממשיכות לעבוד גם לאחר זיהוי והסרה של התוכנה הזדונית."
כדי לטפל בבעיה זו, גוגל עובדת על דרך "לקשור" עוגיות אימות למחשב האישי של המשתמש, אסטרטגיה הכוללת שילוב של הצפנה של מפתח ציבורי עם העוגיות. המשמעות היא שבכל פעם שדפדפן יוזם הפעלת התחברות חדשה, הוא יפיק מפתח הצפנה ישירות על המחשב האישי של המשתמש. מפתח זה משמש כדי לאשר שהכניסה לגיטימית ישירות עם שרת האתר, ומוסיפה שכבת אבטחה נוספת כדי לסכל גישה לא מורשית.
כדי להבטיח שמפתחות ההצפנה מאובטחים, גוגל מתכננת לאחסן אותם בתוך שבב Trusted Platform Module (TPM) של מחשב Windows PC. השבב הזה נבנה ייעודי לשמירה על מפתחות קריפטוגרפיים ואימות שלמות מערכת ההפעלה - וכעת זה דרישה להפעלת Windows 11.
לאחר מכן, אתר אינטרנט יכול לאשר את האותנטיות של קובץ Cookie לאימות באמצעות API שבודק את הלגיטימיות של מפתח ההצפנה המשויך להפעלת התחברות, ומבטיח שההפעלה מאובטחת ומאושרת.
"זה מבטיח שההפעלה עדיין על אותו מכשיר, אוכף אותה במרווחי זמן קבועים שנקבעו על ידי השרת", אמר מונסן. "אנחנו חושבים שזה יפחית באופן משמעותי את שיעור ההצלחה של תוכנות זדוניות גניבת עוגיות. התוקפים ייאלצו לפעול באופן מקומי במכשיר, מה שהופך את הזיהוי והניקוי במכשיר ליעילים יותר, הן עבור תוכנות אנטי-וירוס והן עבור מכשירים מנוהלים בארגון".
גוגל שואפת להפוך את הפרויקט הזה ל"תקן אינטרנט פתוח", תוך שיפור האבטחה עבור כל המשתמשים ברחבי האינטרנט, ומתכננת ניסיון תפעולי מלא של הטכנולוגיה הזו מוכנה עד סוף 2024.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
