Yeni Chrome güvenlik özelliği, saldırganların en sevdiği kestirme yolu kapatmayı amaçlıyor. Çünkü iki faktörlü kimlik doğrulama açık olsa bile, kötü amaçlı yazılımlar tarayıcıdan kopyaladığı oturum çerezleriyle bu korumayı boşa çıkarabiliyor. Google da tam olarak bu açığı kapatmak için harekete geçti.
Chrome güvenlik özelliği nedir?
DBSC, kısaca oturumu doğrudan cihaza bağlayan bir doğrulama yöntemi. Kullanıcı giriş yaptığında tarayıcı, o cihaza özel bir genel-özel anahtar çifti üretiyor. Özel anahtar ise cihazın donanımındaki güvenli bölgede saklanıyor, dışarı çıkmıyor. Yani çerez bir şekilde çalınsa bile, başka bir bilgisayarda işe yaramıyor; çünkü o gizli anahtar saldırganın elinde değil.
Mantık aslında epey basit ama etkili. Eskiden çerezi kapan herkes hesabın sahibiymiş gibi davranabiliyordu. Şimdi tarayıcı, oturum boyunca arada bir "bu anahtar hâlâ sende mi?" diye soruyor. Cevap veremeyen taraf kapı dışında kalıyor.
Chrome güvenlik özelliği hangi cihazlarda çalışıyor?
Sistem şimdilik yalnızca Windows kullanıcılarına sunuldu. Burada özel anahtarlar TPM yani Trusted Platform Module adı verilen donanım yongasında korunuyor. macOS tarafı için de hazırlık sürüyor; Apple cihazlarda anahtarların Secure Enclave bölgesinde tutulması planlanıyor.
Üstelik Google, bu Chrome güvenlik özelliğini hem Workspace hesaplarına hem de kişisel Google hesabıyla giriş yapan kullanıcılara kademeli olarak dağıtıyor. Yani herkese aynı anda gelmiyor, dalga dalga yayılıyor. Donanımı uygun olmayan cihazlarda ise sistem sessizce devre dışı kalıyor ve kullanıcı bir aksaklık yaşamıyor.
Çerez hırsızlığı neden bu kadar tehlikeli?
Son yıllarda bilgi hırsızı yazılımlar ciddi biçimde yaygınlaştı. Bu zararlılar parola çalmak yerine çoğu zaman doğrudan canlı oturum çerezlerini topluyor, çünkü çerez varken parolaya gerek bile kalmıyor. Bir saldırgan bu çerezi ele geçirdiğinde, kurbanın hesabına sanki kendisiymiş gibi giriş yapabiliyor.
İşte DBSC, tam da bu zincirin en zayıf halkasını kırmayı hedefliyor. Çerezi cihaza kilitleyerek, çalınan verinin başka yerde değerini sıfırlıyor. Gizlilik tarafında da her site için ayrı anahtar üretiliyor, böylece bu yöntemle kullanıcı takibi yapılamıyor.
