أعلنت شركة جوجل عن إطلاق ميزة أمنية جديدة تُعرف باسم بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) ضمن إصدار تجريبي مفتوح في متصفح Chrome، بهدف حماية المستخدمين من هجمات سرقة ملفات تعريف الجلسات (Session Cookies).
وقد تم تقديم DBSC لأول مرة كنموذج أولي في أبريل 2024، وهي مصممة لربط جلسات المصادقة بجهاز المستخدم الأصلي، بما يمنع الجهات الخبيثة من استغلال ملفات تعريف الجلسة المسروقة لتسجيل الدخول إلى حسابات الضحايا من أجهزة أخرى.
وقال آندي وين، مدير إدارة المنتجات في Google Workspace: “الميزة الجديدة والمتوفرة في متصفح Chrome على نظام Windows تعزز الأمان بعد تسجيل الدخول، حيث تُستخدم لربط ملف تعريف الجلسة بالجهاز الذي تم منه تسجيل الدخول”.
ولا تقتصر وظيفة DBSC على حماية الحسابات بعد المصادقة، بل تُعقّد أيضاً مهمة الجهات الخبيثة في إعادة استخدام ملفات الجلسة، وتُعزز من سلامة الجلسات النشطة.
تحسينات في دعم مفاتيح المرور والتحكم الإداري
أشارت جوجل كذلك إلى أن دعم مفاتيح المرور (Passkeys) بات متاحاً الآن لأكثر من 11 مليون مستخدم ضمن Google Workspace، إلى جانب توسيع نطاق أدوات التحكم الإدارية لمراجعة عمليات التسجيل، وإمكانية تقييد استخدام مفاتيح المرور على المفاتيح المادية فقط.
طرح إطار الإشارات الأمنية المشتركة في نسخة تجريبية مغلقة
ضمن جهودها لتعزيز استجابة المؤسسات للتهديدات، تعتزم جوجل إطلاق إصدار تجريبي مغلق من إطار الإشارات المشتركة (Shared Signals Framework – SSF) لفئة مختارة من العملاء. الإطار مبني على معيار OpenID، ويتيح تبادل الإشارات الأمنية الحرجة في الوقت شبه الحقيقي.
وأوضح وين: “يعمل هذا الإطار كنظام قوي يُمكّن ‘المرسِلين’ من إبلاغ ‘المستقبلين’ على الفور بالأحداث الأمنية المهمة، مما يساهم في استجابة منسقة للتهديدات”.
وأشار إلى أن تبادل الإشارات لا يقتصر على اكتشاف التهديدات، بل يشمل أيضاً مشاركة معلومات المستخدم أو الجهاز، ما يعزز من الوضع الأمني العام وآليات الدفاع التعاوني.
Project Zero يعتمد سياسة جديدة لشفافية الإبلاغ عن الثغرات
في خطوة موازية، أعلن فريق Project Zero التابع لجوجل – والمسؤول عن اكتشاف الثغرات من النوع “صفر يوم” – عن سياسة تجريبية جديدة تحت اسم شفافية الإبلاغ (Reporting Transparency)، تهدف إلى تقليص فجوة تصحيح الثغرات على مستوى الشركات والمستخدمين.
وعادةً ما تشير فجوة التصحيح إلى الفترة الزمنية بين إصدار تصحيح للثغرة وتثبيته من قبل المستخدم. أما فجوة التصحيح “العليا” (Upstream Patch Gap)، فتشير إلى الوقت الذي يتوافر فيه التصحيح لدى المورد الأساسي بينما لم يصل بعد إلى عملاء الطرف الثالث.
ولتقليص هذه الفجوة، تعتزم جوجل نشر معلومات عن الثغرات المكتشفة خلال أسبوع من إبلاغ المورد بها، وتشمل هذه المعلومات اسم المورد أو المشروع مفتوح المصدر، المنتج المتأثر، تاريخ الإبلاغ، وتاريخ انتهاء مهلة الإفصاح البالغة 90 يوماً.
وتضم القائمة الحالية ثغرتين في نظام Microsoft Windows، وثغرة في Dolby Unified Decoder، وثلاث ثغرات في مشروع Google BigWave.
وقال تيم ويليس من Project Zero: “الهدف الرئيسي من هذه السياسة التجريبية هو تقليص فجوة التصحيح العليا عبر زيادة الشفافية. ومن خلال توفير إشارات مبكرة عن الثغرات، يمكن للجهات المعتمدة على البرمجيات الأساسية اتخاذ خطوات استباقية لحماية مستخدميها”.
دمج الذكاء الاصطناعي في اكتشاف الثغرات
كما أعلنت جوجل عن نيتها تطبيق هذه السياسة على مشروع Big Sleep، وهو وكيل ذكاء اصطناعي تم إطلاقه العام الماضي بالتعاون بين DeepMind وProject Zero لتعزيز قدرات اكتشاف الثغرات الأمنية.
وأكدت الشركة أنها لن تنشر أية تفاصيل تقنية أو نماذج برمجية قد تسهم في استغلال الثغرات قبل انتهاء فترة الإفصاح المحددة، حرصاً على عدم تسهيل مهمة الجهات الخبيثة.
وتأمل جوجل أن يُسهم هذا النهج الجديد في تسريع عملية إصدار التصحيحات للأجهزة والخدمات التي يعتمد عليها المستخدمون، وتعزيز أمن النظام التقني ككل.
