Google Chrome เปิดตัวฟีเจอร์ใหม่ Device Bound Session Credentials ป้องกันแฮ็กเกอร์ขโมย Cookie

Google ประกาศเปิดตัวฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่บน Chrome เรียกว่า “Device Bound Session Credentials” ซึ่งจะทำหน้าที่ผูก Cookie เข้ากับอุปกรณ์ของผู้ใช้ ป้องกันไม่ให้แฮ็กเกอร์ขโมย Cookie ไปใช้เพื่อไฮแจ็คบัญชีของผู้ใช้

Cookie เป็นไฟล์ขนาดเล็กที่เว็บไซต์ใช้เพื่อจดจำข้อมูลการใช้เบราว์เซอร์และการตั้งค่าของผู้ใช้ รวมถึงช่วยล็อกอินเข้าใช้บริการต่างๆ โดยอัตโนมัติ Cookie เหล่านี้จะถูกสร้างขึ้นหลังจากที่ผู็ใช้ล็อกอินเข้าใช้บริการและยืนยันตัวตนเรียบร้อยแล้ว ทำให้สามารถทะลุผ่านการพิสูจน์ตัวตนได้ในอนาคต แม้จะเป็น Multi-factor Authentication ก็ตาม ถ้าแฮ็กเกอร์สามารถขโมย Cookie ของผู้ใช้ไปได้ ก็จะสามารถหลีกเลี่ยงการพิสูจน์ตัวตนและไฮแจ็คบัญชีของผู้ใช้ที่เชื่อมโยงอยู่ได้ทันที

เพื่อแก้ปัญหาการขโมย Cookie นี้ ทาง Google จึงได้พัฒนาฟีเจอร์ใหม่ เรียกว่า “Device Bound Session Credentials (DBSC)” ซึ่งจะทำหน้าที่ผูก Cookie ที่พิสูจน์ตัวตนแล้วเข้าด้วยกันกับอุปกรณ์ของผู้ใช้ผ่านการเข้ารหัส ทำให้แฮ็กเกอร์ไม่สามารถขโมย Cookie ออกไปได้

เมื่อผู้ใช้เปิดใช้งาน DBMS กระบวนการพิสูจน์ตัวตนจะถูกเชื่อมโยงกับคู่ Public/Private Keys ใหม่ ที่ถูกสร้างขึ้นโดยชิป Trusted Platform Module (TPM) บนอุปกรณ์ของผู้ใช้ ซึ่ง Keys ดังกล่าวจะถูกเก็บไว้อย่างมั่นคงปลอดภัยบนอุปกรณ์และไม่สามารถขโมยออกไปได้ หรือต่อให้แฮ็กเกอร์สามารถขโมย Cookie ออกไปได้ ก็ไม่สามารถนำไปใช้ประโยชน์อะไรได้อยู่ดี

ฟีเจอร์ DBSC เปิดให้ทดลองใช้งานแล้ว โดยผู้ใช้สามารถไปที่ chrome://flags/ บน Chrome แล้วเลือกเปิดใช้งานในหัวข้อ Device Bound Session Credentials ฟีเจอร์ดังกล่าวรองรับทั้งระบบปฏิบัติการ Windows, Linux และ macOS คาดว่าจะเปิดใช้งานจริงภายในสิ้นปี 2024 นี้ นอกจากนี้ Google ยังเตรียมนำฟีเจอร์ DBSC ไปใช้ใน Google Workspace และ Google Cloud อีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/new-chrome-feature-aims-to-stop-hackers-from-using-stolen-cookies/