Penka Hristovska
Cập nhật vào: 10 Tháng Tư, 2024
Google đã phát triển một tính năng nguyên mẫu mới cho trình duyệt Chrome, nhằm chống lại các nỗ lực hack sử dụng phần mềm độc hại để đánh cắp cookie của trình duyệt và chiếm đoạt tài khoản trực tuyến.
Công nghệ mới, có tên là “Thông tin xác thực phiên giới hạn thiết bị”, sử dụng mã hóa để chặn tin tặc chiếm quyền điều khiển phiên đăng nhập thông qua việc đánh cắp cookie.
Cookie Internet là các tệp văn bản nhỏ được trình duyệt web lưu trữ trên máy tính của bạn. Chúng giúp các trang web ghi nhớ các tùy chọn của bạn, chẳng hạn như chi tiết đăng nhập, do đó bạn không cần phải nhập lại chúng mỗi lần truy cập. Tuy nhiên, những cookie này trở thành lỗ hổng bảo mật nếu tin tặc lây nhiễm phần mềm độc hại vào máy tính của bạn vì chúng có thể dễ dàng đánh cắp những cookie này để truy cập tài khoản trực tuyến của bạn mà không cần mật khẩu.
Kỹ sư phần mềm Kristian Monsen của Google giải thích trong một bài đăng trên blog: “Việc đánh cắp cookie như thế này xảy ra sau khi đăng nhập, vì vậy nó bỏ qua xác thực hai yếu tố và mọi kiểm tra danh tiếng tại thời điểm đăng nhập khác”. “Cũng khó giảm thiểu bằng phần mềm chống vi-rút vì cookie bị đánh cắp vẫn tiếp tục hoạt động ngay cả sau khi phần mềm độc hại được phát hiện và xóa.”
Để giải quyết vấn đề này, Google đang nghiên cứu cách “liên kết” cookie xác thực với PC của người dùng, một chiến lược liên quan đến việc kết hợp mật mã khóa công khai với cookie. Điều này có nghĩa là bất cứ khi nào trình duyệt bắt đầu phiên đăng nhập mới, nó sẽ tạo khóa mã hóa ngay trên PC của người dùng. Khóa này được sử dụng để xác nhận rằng thông tin đăng nhập là hợp pháp trực tiếp với máy chủ của trang web, bổ sung thêm một lớp bảo mật để ngăn chặn truy cập trái phép.
Để đảm bảo các khóa mã hóa được an toàn, Google có kế hoạch lưu trữ chúng trong chip Mô-đun nền tảng đáng tin cậy (TPM) của PC Windows. Con chip này được thiết kế nhằm mục đích bảo vệ các khóa mật mã và xác minh tính toàn vẹn của hệ điều hành — và giờ đây nó là yêu cầu bắt buộc để chạy Windows 11.
Sau đó, một trang web có thể xác nhận tính xác thực của cookie xác thực bằng cách sử dụng API kiểm tra tính hợp pháp của khóa mã hóa được liên kết với phiên đăng nhập, đảm bảo rằng phiên này được an toàn và được ủy quyền.
Monsen cho biết: “Điều này đảm bảo phiên vẫn diễn ra trên cùng một thiết bị, thực thi phiên này theo khoảng thời gian đều đặn do máy chủ đặt”. “Chúng tôi nghĩ rằng điều này sẽ làm giảm đáng kể tỷ lệ thành công của phần mềm độc hại đánh cắp cookie. Những kẻ tấn công sẽ buộc phải hành động cục bộ trên thiết bị, điều này giúp việc phát hiện và dọn dẹp trên thiết bị hiệu quả hơn, cho cả phần mềm chống vi-rút cũng như các thiết bị do doanh nghiệp quản lý.”
Google đặt mục tiêu biến dự án này thành một “tiêu chuẩn web mở”, tăng cường bảo mật cho tất cả người dùng trên web và có kế hoạch sẵn sàng thử nghiệm hoạt động đầy đủ công nghệ này vào cuối năm 2024.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
