گوگل قابلیت امنیتی DBSC را برای مقابله با سرقت حساب‌ها منتشر کرد

کمیته رکن چهارم – گوگل از انتشار عمومی قابلیت امنیتی Device Bound Session Credentials (DBSC) خبر داده است؛ فناوری جدیدی که با اتصال نشست‌های کاربری به سخت‌افزار دستگاه، از سوءاستفاده مهاجمان از کوکی‌های سرقت‌شده جلوگیری می‌کند.

به گزارش کمیته رکن چهارم، این قابلیت که از سال ۲۰۲۴ در حال توسعه بوده و از آوریل ۲۰۲۶ به‌صورت آزمایشی در دسترس قرار داشت، اکنون برای تمامی کاربران حساب‌های شخصی گوگل، مشترکان Workspace Individual و سازمان‌های استفاده‌کننده از Google Workspace در حال انتشار است.

DBSC با اتصال رمزنگاری‌شده کوکی‌های نشست به سخت‌افزار دستگاه کاربر عمل می‌کند. در این روش، کلیدهای امنیتی مورد نیاز برای احراز هویت توسط تراشه‌های امنیتی داخلی دستگاه مانند TPM در ویندوز و Secure Enclave در macOS تولید و نگهداری می‌شوند. به همین دلیل حتی در صورت سرقت کوکی‌های نشست، مهاجم بدون دسترسی به کلیدهای ذخیره‌شده روی دستگاه قادر به استفاده از آن‌ها نخواهد بود.

گوگل اعلام کرده است که این قابلیت به‌طور ویژه برای مقابله با حملاتی طراحی شده که طی آن مهاجمان با سرقت کوکی‌های احراز هویت، محدودیت‌های احراز هویت چندمرحله‌ای را دور می‌زنند و کنترل حساب‌های کاربری را به دست می‌گیرند. به گفته این شرکت، DBSC رویکرد امنیتی را از شناسایی پس از نفوذ به پیشگیری فعال تغییر می‌دهد.

بر اساس اعلام گوگل، این قابلیت به‌صورت پیش‌فرض برای تمامی مشتریان Google Workspace فعال خواهد شد و مدیران سامانه امکان غیرفعال‌سازی آن را نخواهند داشت. این اقدام در شرایطی انجام می‌شود که طی سال‌های اخیر سرقت کوکی‌های نشست به یکی از روش‌های رایج برای نفوذ به حساب‌های سازمانی و شخصی تبدیل شده است.

پیش‌زمینه

سرقت کوکی‌های نشست یکی از روش‌های متداول برای تصاحب حساب‌های کاربری است. در این حملات، مهاجم بدون نیاز به دانستن گذرواژه یا عبور از احراز هویت چندمرحله‌ای، از کوکی‌های ذخیره‌شده روی دستگاه قربانی استفاده می‌کند. افزایش فعالیت بدافزارهای سرقت اطلاعات در سال‌های اخیر، اهمیت حفاظت از نشست‌های کاربری را بیش از گذشته افزایش داده است.

جمع‌بندی

کارشناسان امنیتی معتقدند DBSC یکی از مهم‌ترین تغییرات امنیتی مرورگرها در سال‌های اخیر به شمار می‌رود و می‌تواند نقش مهمی در کاهش حملات مبتنی بر سرقت کوکی ایفا کند. با اتصال نشست‌های کاربری به سخت‌افزار دستگاه، سوءاستفاده از اطلاعات احراز هویت سرقت‌شده برای مهاجمان به‌مراتب دشوارتر خواهد شد.

منبع: BleepingComputer