Google Chrome Bètatest nieuwe DBSC-bescherming tegen cookies-stelende aanvallen

Google zei dinsdag dat het een nieuwe functie in Chrome test, genaamd Device Bound Session Credentials (DBSC) om gebruikers te helpen beschermen tegen diefstal van sessiecookies door malware.

Het prototype – momenteel getest tegen “sommige” gebruikers van Google-accounts die Chrome Beta gebruiken – is gebouwd met als doel er een open webstandaard van te maken, aldus het Chromium-team van de technologiegigant.

“Door authenticatiesessies aan het apparaat te binden, wil DBSC de cookie-diefstal-industrie ontwrichten, omdat het exfiltreren van deze cookies geen enkele waarde meer zal hebben”, aldus het bedrijf.

“We denken dat dit het succespercentage van malware voor het stelen van cookies aanzienlijk zal verminderen. Aanvallers zouden gedwongen worden om lokaal op het apparaat te handelen, wat detectie en opruiming op het apparaat effectiever maakt, zowel voor antivirussoftware als voor door bedrijven beheerde apparaten .”

De ontwikkeling komt voort uit berichten dat kant-en-klare informatie die malware steelt, manieren vindt om cookies te stelen op een manier die bedreigingsactoren in staat stelt de bescherming tegen multi-factor authenticatie (MFA) te omzeilen en ongeautoriseerde toegang te krijgen tot online accounts.

Cyberbeveiliging

Dergelijke technieken voor het kapen van sessies zijn niet nieuw. In oktober 2021 heeft de Threat Analysis Group (TAG) van Google een phishing-campagne beschreven die makers van YouTube-inhoud targette met malware die cookies steelt om hun accounts te kapen en geld te verdienen met de toegang voor het plegen van oplichting met cryptocurrency.

Eerder dit jaar onthulde CloudSEK dat informatiestelers zoals Lumma, Rhadamanthys, Stealc, Meduza, RisePro en WhiteSnake hun mogelijkheden hebben bijgewerkt om gebruikerssessies te kapen en continue toegang tot Google-services mogelijk te maken, zelfs na het opnieuw instellen van het wachtwoord.

Google vertelde destijds aan The Hacker News dat “aanvallen met malware die cookies en tokens stelen niet nieuw zijn; we upgraden routinematig onze verdediging tegen dergelijke technieken en om gebruikers te beveiligen die het slachtoffer worden van malware.”

Het raadde gebruikers verder aan om Enhanced Safe Browsing in de Chrome-webbrowser in te schakelen om bescherming te bieden tegen phishing en malwaredownloads.

DBSC wil dit soort kwaadaardige inspanningen terugdringen door een cryptografische aanpak te introduceren die de sessies zodanig aan het apparaat koppelt dat het voor de tegenstanders moeilijker wordt om de gestolen cookies te misbruiken en de accounts te kapen.

Cookie-stelende aanvallen

De nieuwe functie, die via een API wordt aangeboden, bereikt dit door een server in staat te stellen een sessie te koppelen aan een openbare sleutel die door de browser is aangemaakt als onderdeel van een publiek/privaat sleutelpaar wanneer een nieuwe sessie wordt gestart.

Het is vermeldenswaard dat het sleutelpaar lokaal op het apparaat wordt opgeslagen met behulp van Trusted Platform Modules (TPM's). Bovendien zorgt de DBSCI API ervoor dat de server het bewijs van bezit van de privésleutel gedurende de hele sessielevensduur kan verifiëren om er zeker van te zijn dat de sessie actief is op hetzelfde apparaat.

“DBSC biedt een API voor websites om de levensduur van dergelijke sleutels te controleren, achter de abstractie van een sessie, en een protocol voor het periodiek en automatisch bewijzen van het bezit van die sleutels aan de servers van de website”, aldus Kristian Monsen en Arnar Birgisson van Google.

“Er is een aparte sleutel voor elke sessie, en het zou niet mogelijk moeten zijn om te detecteren dat twee verschillende sessiesleutels van één apparaat afkomstig zijn. Door de privésleutel aan het apparaat te binden en met de juiste intervallen van de bewijzen, kan de browser het vermogen van malware beperken om Verplaats het misbruik van het apparaat van de gebruiker, waardoor de kans aanzienlijk groter wordt dat de browser of de server cookiediefstal kan detecteren en beperken.”

Cyberbeveiliging

Een cruciaal voorbehoud is dat DBSC gebruikmaakt van gebruikersapparaten die een veilige manier hebben om uitdagingen te ondertekenen en tegelijkertijd privésleutels te beschermen tegen exfiltratie door malware, waardoor de webbrowser toegang moet hebben tot de TPM.

Google zei dat ondersteuning voor DBSC in eerste instantie zal worden uitgerold naar ongeveer de helft van de Chrome-desktopgebruikers op basis van de hardwaremogelijkheden van hun machines. Het nieuwste project zal naar verwachting ook aansluiten bij de bredere plannen van het bedrijf om tegen het einde van het jaar cookies van derden in de browser te beëindigen via het Privacy Sandbox-initiatief.

“Dit is om ervoor te zorgen dat DBSC geen nieuwe trackingvector wordt zodra cookies van derden zijn uitgefaseerd, en om er tegelijkertijd voor te zorgen dat dergelijke cookies in de tussentijd volledig kunnen worden beschermd”, aldus het rapport. “Als de gebruiker zich volledig afmeldt voor cookies, cookies van derden of cookies voor een specifieke site, wordt DBSC ook in die scenario's uitgeschakeld.”

Het bedrijf merkte verder op dat het samenwerkt met verschillende serverproviders, identiteitsproviders (IdP's) en browserleveranciers zoals Microsoft Edge en Okta, die interesse hebben getoond in DBSC. Origin-proeven voor DBSC voor alle ondersteunde websites zullen tegen het einde van het jaar van start gaan.

Thijs Van der Does