أعلنت شركة جوجل عن الإتاحة العامة لميزة Device Bound Session Credentials (DBSC) لمستخدمي نظام ويندوز عبر الإصدار الجديد من متصفح كروم 146، وذلك بعد أشهر من اختبارها في نسخة تجريبية مفتوحة. وتأتي هذه الخطوة في إطار جهود الشركة المستمرة لمكافحة واحدة من أخطر التهديدات الأمنية في العصر الرقمي، وهي سرقة الجلسات التي تستهدف ملفات تعريف الارتباط (Cookies) الخاصة بالمستخدمين.
خلفية تقنية: كيف تحدث سرقة الجلسات؟
سرقة الجلسات هي عملية خبيثة يقوم فيها المهاجمون باستخراج ملفات تعريف الارتباط من المتصفح، إما عبر جمعها مباشرة أو انتظار المستخدم لتسجيل الدخول ثم إرسالها إلى خادم يتحكم فيه المهاجم. غالبًا ما يتم ذلك من خلال إصابة الأجهزة ببرمجيات خبيثة متخصصة مثل Atomic وLumma وVidar Stealer، والتي تستطيع جمع معلومات واسعة من النظام المصاب، بما في ذلك بيانات الدخول والكوكيز.
تكمن خطورة هذه الهجمات في أن ملفات تعريف الارتباط غالبًا ما تكون طويلة العمر، مما يسمح للمهاجمين بالوصول إلى حسابات المستخدمين دون الحاجة إلى كلمات المرور، ثم بيع هذه الرموز لمجرمين آخرين لتحقيق مكاسب مالية.
آلية عمل DBSC: ربط الجلسة بالجهاز
الميزة الجديدة التي أعلنت عنها جوجل لأول مرة في أبريل 2024، تعمل على ربط جلسة المصادقة بجهاز محدد باستخدام تقنيات تشفير متقدمة. تعتمد DBSC على وحدات أمان مدعومة بالأجهزة مثل Trusted Platform Module (TPM) في ويندوز وSecure Enclave في macOS، لتوليد زوج مفاتيح عام/خاص لا يمكن تصديره خارج الجهاز.
وبالتالي، فإن إصدار ملفات تعريف ارتباط قصيرة العمر يصبح مشروطًا بإثبات المتصفح امتلاكه للمفتاح الخاص أمام الخادم. وبما أن المهاجمين لا يمكنهم سرقة هذا المفتاح، فإن أي ملفات تعريف ارتباط مسروقة تفقد صلاحيتها بسرعة وتصبح عديمة الفائدة.
الأبعاد المستقبلية والتعاون مع مايكروسوفت
تشير جوجل إلى أن إطلاق DBSC ساهم بالفعل في تقليل معدلات سرقة الجلسات بشكل ملحوظ منذ بدء الاختبارات، وهو ما يعد مؤشرًا مبكرًا على نجاح هذه التقنية. وتخطط الشركة لتوسيع نطاق الميزة لتشمل أنظمة تشغيل أخرى مثل macOS، بالإضافة إلى تطوير قدرات متقدمة لدمجها بشكل أفضل في بيئات المؤسسات.
الجدير بالذكر أن جوجل عملت مع مايكروسوفت لتصميم هذا المعيار بهدف تحويله إلى معيار مفتوح للويب، مع التأكيد على أن البنية المعمارية للـ DBSC تراعي الخصوصية بشكل صارم، حيث لا تسمح باستخدام بيانات الجلسة لتتبع نشاط المستخدم عبر المواقع المختلفة أو إنشاء بصمة رقمية للجهاز.
خصوصية المستخدمين وضمان عدم التتبع
أوضحت جوجل أن البروتوكول مصمم ليكون خفيفًا ولا يقوم بتسريب معرفات الأجهزة أو بيانات إثبات الهوية للخادم، باستثناء المفتاح العام الخاص بكل جلسة والذي يُستخدم لإثبات الملكية. هذا النهج يضمن تعزيز الأمان دون فتح الباب أمام تتبع المستخدمين أو تحويل الميزة إلى أداة للتجسس أو التعرف على الأجهزة.
