Ваш пароль украли? Ну и ладно. Google придумала, как сделать похищенные куки браузера бесполезными
NewsMakerИнфостилеры, теневые базы и чужие аккаунты. Как работала кража сессий и почему больше это не работает.
Кража сессий давно стала одной из самых неприятных техник взлома: пароль уже не нужен, если у злоумышленника есть куки из браузера. Google решила закрыть эту дыру на уровне самой логики авторизации и вывела в стабильный релиз функцию Device Bound Session Credentials . Пока механизм доступен пользователям Chrome на Windows, но дальше его собираются распространить и на другие платформы.
Схема атаки выглядит довольно приземленно. Пользователь подхватывает инфостилер — например, семейства вроде Atomic, Lumma или Vidar. Такие программы вытаскивают из системы почти все ценное, включая куки из браузера. В этих файлах уже лежит подтверждение входа в аккаунт. Сервис считает, что пользователь авторизован, и не требует пароль заново. В результате злоумышленник получает готовый доступ к почте, соцсетям или корпоративным сервисам.
Дальше включается экономика теневого рынка. Украденные куки собирают в базы и продают другим группам. Покупателю не нужно ломать защиту — достаточно подставить чужую сессию и зайти в аккаунт как легитимный пользователь. С учетом того, что многие сессии живут довольно долго, окно для атаки получается широким.
Device Bound Session Credentials меняет сам принцип работы таких сессий. Вместо того чтобы просто хранить куки, браузер привязывает авторизацию к конкретному устройству. Делается это через криптографию: при входе создается пара ключей — публичный и приватный. Приватный ключ остается внутри устройства и не может быть извлечен наружу.
Кража сессий давно стала одной из самых неприятных техник взлома: пароль уже не нужен, если у злоумышленника есть куки из браузера. Google решила закрыть эту дыру на уровне самой логики авторизации и вывела в стабильный релиз функцию Device Bound Session Credentials . Пока механизм доступен пользователям Chrome на Windows, но дальше его собираются распространить и на другие платформы.
Схема атаки выглядит довольно приземленно. Пользователь подхватывает инфостилер — например, семейства вроде Atomic, Lumma или Vidar. Такие программы вытаскивают из системы почти все ценное, включая куки из браузера. В этих файлах уже лежит подтверждение входа в аккаунт. Сервис считает, что пользователь авторизован, и не требует пароль заново. В результате злоумышленник получает готовый доступ к почте, соцсетям или корпоративным сервисам.
Дальше включается экономика теневого рынка. Украденные куки собирают в базы и продают другим группам. Покупателю не нужно ломать защиту — достаточно подставить чужую сессию и зайти в аккаунт как легитимный пользователь. С учетом того, что многие сессии живут довольно долго, окно для атаки получается широким.
Device Bound Session Credentials меняет сам принцип работы таких сессий. Вместо того чтобы просто хранить куки, браузер привязывает авторизацию к конкретному устройству. Делается это через криптографию: при входе создается пара ключей — публичный и приватный. Приватный ключ остается внутри устройства и не может быть извлечен наружу.