Google mengumumkan fitur keamanan baru Chrome bernama 'Device Bound Session Credentials' yang mengikat cookie ke perangkat tertentu, mencegah peretas mencuri dan menggunakannya untuk meretas akun pengguna.

Cookie adalah file yang digunakan oleh situs web untuk mengingat informasi dan preferensi penjelajahan Anda serta secara otomatis masuk ke layanan atau situs web. Cookie ini dibuat setelah Anda masuk ke layanan dan memverifikasi otentikasi multi-faktor, memungkinkan mereka melewati otentikasi multi-faktor (MFA) pada masuk selanjutnya.

Sayangnya, penyerang menggunakan malware untuk mencuri cookie ini, dengan demikian mengelakkan tindakan prompt MFA untuk meretas akun yang terkait.

Untuk mengatasi masalah ini, Google sedang mengembangkan fitur baru bernama Device Bound Session Credentials (DBSC) yang membuat mustahil bagi penyerang untuk mencuri cookie Anda dengan mengikat kriptografis cookie otentikasi Anda ke perangkat Anda.

Setelah mengaktifkan DBSC, proses otentikasi terkait dengan sepasang kunci publik/privat baru yang dihasilkan menggunakan chip Trusted Platform Module (TPM) perangkat Anda yang tidak dapat diekstraksi dan disimpan dengan aman di perangkat Anda, sehingga bahkan jika penyerang mencuri cookie Anda, mereka tidak akan dapat mengakses akun Anda.

"Dengan mengikat sesi otentikasi ke perangkat, DBSC bertujuan untuk mengganggu industri pencurian cookie karena mengelakkan eksfiltrasi cookie ini tidak akan memiliki nilai lagi," kata Kristian Monsen, seorang insinyur perangkat lunak di tim Chrome Counter Abuse milik Google.

"Kami berpikir ini akan secara substansial mengurangi tingkat keberhasilan malware pencurian cookie. Penyerang akan terpaksa bertindak secara lokal di perangkat, yang membuat deteksi dan pembersihan di perangkat lebih efektif, baik untuk perangkat lunak anti-virus maupun perangkat yang dikelola perusahaan."

Meskipun masih dalam tahap prototipe, menurut perkiraan waktu yang dibagikan oleh Google, Anda dapat menguji DBSC dengan pergi ke chrome://flags/ dan mengaktifkan flag "enable-bound-session-credentials" khusus di browser web berbasis Chromium untuk Windows, Linux, dan macOS.

DBSC bekerja dengan memungkinkan server memulai sesi baru dengan browser Anda dan mengaitkannya dengan kunci publik yang disimpan di perangkat Anda menggunakan API (Application Programming Interface) yang didedikasikan.

Setiap sesi didukung oleh kunci unik untuk melindungi privasi Anda, dengan server hanya menerima kunci publik yang digunakan untuk memverifikasi kepemilikan nantinya. DBSC tidak memungkinkan situs melacak Anda di seluruh sesi yang berbeda pada perangkat yang sama, dan Anda dapat menghapus kunci yang dibuatnya kapan saja.

Kemampuan keamanan baru ini diperkirakan awalnya akan didukung oleh sekitar setengah dari semua perangkat desktop Chrome, dan akan sepenuhnya sejalan dengan penghapusan cookie pihak ketiga di Chrome.

"Ketika diterapkan sepenuhnya, konsumen dan pengguna perusahaan akan secara otomatis mendapatkan peningkatan keamanan untuk akun Google mereka di bawah kap, " tambah Monsen.

"Kami juga sedang bekerja untuk mengaktifkan teknologi ini untuk pelanggan Google Workspace dan Google Cloud kami untuk memberikan lapisan keamanan akun tambahan."

Dalam beberapa bulan terakhir, pelaku ancaman telah menyalahgunakan titik akhir API OAuth "MultiLogin" Google yang tidak didokumentasikan untuk menghasilkan cookie otentikasi baru setelah yang sebelumnya dicuri habis masa berlakunya.

Sebelumnya, telah dilaporkan bahwa operasi malware pencurian informasi mengklaim dapat memulihkan cookie otentikasi Google yang telah kadaluarsa dicuri dalam serangan.

Pada saat itu, Google menyarankan pengguna untuk menghapus malware dari perangkat mereka dan merekomendasikan mengaktifkan Enhanced Safe Browsing di Chrome untuk membela diri dari serangan phishing dan malware.

Namun, fitur baru ini efektif akan memblokir pelaku ancaman dari penyalahgunaan cookie yang dicuri ini, karena mereka tidak akan memiliki akses ke kunci kriptografis yang diperlukan untuk menggunakannya.