Google je najavio da će u otvorenoj beta verziji napraviti sigurnosnu funkciju pod nazivom Device Bound Session Credentials (DBSC) kako bi se osigurala zaštita korisnika od napada krađe kolačića sesije.
DBSC, prvi put predstavljen kao prototip u aprilu 2024. godine, dizajniran je za povezivanje sesija autentifikacije s uređajem kako bi se spriječilo da hakeri koriste ukradene kolačiće za prijavu na račune žrtava i dobivanje neovlaštenog pristupa s odvojenog uređaja pod njihovom kontrolom.
„Dostupan u Chrome pregledniku na Windowsu, DBSC jača sigurnost nakon što se prijavite i pomaže u povezivanju kolačića sesije – malih datoteka koje web stranice koriste za pamćenje korisničkih informacija – s uređajem s kojeg se korisnik autentificirao“, rekao je Andy Wen, viši direktor za upravljanje proizvodima u Google Workspaceu .
DBSC nije namijenjen samo zaštiti korisničkih računa nakon autentifikacije. Mnogo otežava maliciozni hakerima ponovnu upotrebu kolačića sesije i poboljšava integritet sesije.
Kompanija je takođe napomenula da je podrška za pristupne ključeve sada uglavnom dostupna za više od 11 miliona korisnika Google Workspacea, uz proširene administratorske kontrole za reviziju registracije i ograničavanje pristupnih ključeva na fizičke sigurnosne ključeve.
Konačno, Google namjerava da u zatvorenoj beta verziji za odabrane korisnike pokrene prijemnik okvira za dijeljene signale ( SSF ) kako bi omogućio razmjenu ključnih sigurnosnih signala gotovo u stvarnom vremenu koristeći OpenID standard.
„Ovaj okvir djeluje kao robustan sistem za ‘predajnike’ kako bi brzo informirali ‘primaoce’ o značajnim događajima, olakšavajući koordiniran odgovor na sigurnosne prijetnje“, rekao je Wen.
“Pored otkrivanja prijetnji i odgovora na njih, dijeljenje signala takođe omogućava opće dijeljenje različitih svojstava, kao što su informacije o uređaju ili korisniku, dodatno poboljšavajući ukupnu sigurnosnu poziciju i mehanizme kolaborativne odbrane.”
Google Project Zero predstavlja transparentnost izvještavanja
Razvoj dolazi u trenutku kada je Google Project Zero, sigurnosni tim unutar kompanije zadužen za pronalaženje zero-day ranjivosti, najavio novu probnu politiku pod nazivom Reporting Transparency kako bi se riješilo ono što je opisano kao jaz u uzvodnim zakrpama.
Dok se jaz između zakrpa i ažuriranja obično odnosi na vremenski period između objavljivanja ispravke za ranjivost i instaliranja odgovarajućeg ažuriranja od strane korisnika, jaz između zakrpa na uzvodnom nivou označava vremenski period u kojem uzvodni dobavljač ima dostupnu ispravku, ali kupci na nizvodnom nivou još nisu integrirali zakrpu i isporučili je krajnjim korisnicima.
Kako bi zatvorio ovu aplikaciju za zakrpe, Google je rekao da dodaje novi korak u kojem namjerava javno podijeliti otkriće ranjivosti u roku od sedmicu dana od prijavljivanja relevantnom dobavljaču.
Očekuje se da će ove informacije uključivati dobavljača ili projekat otvorenog koda koji je primio izvještaj, pogođeni proizvod, datum podnošenja izvještaja i kada ističe rok od 90 dana za otkrivanje informacija. Trenutna lista uključuje dvije greške u Microsoft Windowsu, jednu manu u Dolby Unified Decoderu i tri problema u Google BigWaveu.
„Primarni cilj ovog probnog testiranja je smanjenje jaza u broju zakrpa za uzvodne sisteme povećanjem transparentnosti“, rekao je Tim Willis iz Project Zeroa . „Pružanjem ranog signala da je ranjivost prijavljena uzvodno, možemo bolje informirati korisnike koji zavise od sistema. Za naš mali skup problema, oni će imati dodatni izvor informacija za praćenje problema koji mogu utjecati na njihove korisnike.“
Google je dalje izjavio da planira primijeniti ovaj princip na Big Sleep , agenta umjetne inteligencije (AI) koji je lansiran prošle godine kao dio saradnje između DeepMind-a i Google Project Zero-a s ciljem poboljšanja otkrivanja ranjivosti.
Ovaj gigant u pretraživanju je takođe naglasio da do isteka roka neće biti objavljeni nikakvi tehnički detalji, kod za provjeru koncepta ili bilo koje druge informacije koje bi mogle “materijalno pomoći” zlonamjernim akterima.
S najnovijim pristupom, Google Project Zero je izjavio da se nada da će ubrzati objavljivanje zakrpa za uređaje, sisteme i usluge na koje se krajnji korisnici oslanjaju na vrijeme i ojačati cjelokupni sigurnosni ekosistem.
Izvor:The Hacker News
