Google Tung Tính Năng DBSC Kết Liễu Nạn Ăn Cắp Cookie Và Hack Tài Khoản Trực Tuyến

Sau nhiều tháng thử nghiệm, Google vừa chính thức triển khai rộng rãi tính năng Device Bound Session Credentials (DBSC) cho toàn bộ người dùng Windows trên phiên bản Chrome 146. Đây được xem là đòn giáng mạnh nhất của Google vào ngành công nghiệp mã độc ăn cắp thông tin (Infostealer) trong cả thập kỷ qua.

Tại sao Cookie lại là "tử huyệt"?

Để hiểu được sức mạnh của DBSC, chúng ta cần biết hacker hack tài khoản của bạn như thế nào.

Khi bạn đăng nhập thành công vào một trang web, máy chủ sẽ gửi lại một tệp tin nhỏ gọi là "Session Cookie" (Cookie phiên) và lưu trên trình duyệt để bạn không phải nhập lại mật khẩu mỗi lần tải lại trang. Các loại mã độc ăn cắp thông tin khét tiếng (như Lumma, RedLine, Vidar) khi lây nhiễm vào máy tính sẽ lén lút copy các file cookie này và gửi về cho hacker.

Có cookie trong tay, hacker chỉ việc dán nó vào trình duyệt của chúng ở một quốc gia khác là có thể lập tức chui vào tài khoản của bạn, bỏ qua hoàn toàn bước nhập mật khẩu và mã OTP/2FA.

"Phép thuật" DBSC: Trói chặt Cookie vào thiết bị vật lý

Tính năng DBSC thay đổi hoàn toàn luật chơi bằng cách "trói buộc" (bind) cookie xác thực vào chính phần cứng vật lý của chiếc máy tính bạn đang dùng. Cách thức hoạt động cực kỳ thông minh:

• Bảo mật bằng phần cứng: DBSC sử dụng con chip bảo mật TPM (Trusted Platform Module) trên máy tính Windows (hoặc Secure Enclave trên macOS) để tạo ra một cặp khóa mã hóa siêu an toàn ngay lúc bạn đăng nhập.

• Vô dụng khi rời khỏi máy chủ: Trình duyệt Chrome giờ đây sẽ yêu cầu các trang web cấp những cookie có "vòng đời siêu ngắn". Khi cookie này hết hạn (chỉ sau vài phút), Chrome phải dùng chiếc chìa khóa vật lý đang nằm chết trong chip TPM của bạn để xin cấp lại cookie mới.

• Hacker hoàn toàn bất lực: Nếu hacker đánh cắp được cookie và mang sang máy tính của chúng, cookie đó sẽ lập tức hết hạn. Vì máy tính của hacker không sở hữu con chip TPM của bạn, chúng không thể chứng minh quyền sở hữu, dẫn đến việc cookie bị từ chối và chúng sẽ bị văng ra khỏi tài khoản ngay lập tức.

Theo dữ liệu nội bộ của Google, DBSC đã chặn đứng thành công 94% các kịch bản đánh cắp cookie trong quá trình thử nghiệm.

Quyền riêng tư được đảm bảo tuyệt đối

Nhiều người lo ngại việc dùng phần cứng để xác thực sẽ khiến Google hoặc các trang web theo dõi được thiết bị. Tuy nhiên, kiến trúc của DBSC được thiết kế "Private by design" (Riêng tư từ trong cốt lõi):

• Mỗi một phiên đăng nhập, mỗi một trang web sẽ sử dụng một khóa mã hóa hoàn toàn tách biệt.

• Hệ thống không hề truyền bất kỳ mã định danh phần cứng nào về máy chủ, đảm bảo các trang web không thể dùng DBSC để theo dõi chéo (cross-site tracking) hoặc nhận diện thiết bị (fingerprinting) của bạn.

3 Việc bạn cần làm ngay lúc này

Để lớp khiên này thực sự phát huy tác dụng, hãy thực hiện ngay 3 bước sau:

1. Cập nhật Chrome lên bản 146: Mở Chrome, nhấp vào biểu tượng 3 dấu chấm > Trợ giúp (Help) > Giới thiệu về Google Chrome (About Google Chrome) và để trình duyệt tự động nâng cấp lên phiên bản 146 mới nhất. (Lưu ý: Tính năng này hiện áp dụng cho người dùng Windows, người dùng macOS sẽ được cập nhật trong phiên bản tiếp theo).

2. Các trang web cần thời gian nâng cấp: DBSC yêu cầu các trang web (server-side) cũng phải hỗ trợ giao thức này. Hiện tại các dịch vụ của Google, Microsoft 365, Okta... đã hỗ trợ, và các nền tảng khác sẽ sớm buộc phải cập nhật theo chuẩn mới này.

3. Đừng ỷ lại vào trình duyệt: DBSC làm cho cookie bị đánh cắp trở nên vô dụng ở nơi khác, nhưng nó không ngăn được mã độc lây nhiễm vào máy bạn. Nếu hacker có mã độc chạy trên máy tính của bạn (như keylogger, phần mềm chụp màn hình), chúng vẫn có thể tàn phá dữ liệu tại chỗ. Do đó, việc trang bị một phần mềm bảo mật/diệt virus đủ mạnh vẫn là nguyên tắc sống còn.

Kỷ nguyên của những vụ mất tài khoản bí ẩn vì bị "luộc" cookie đang đi đến hồi kết. Hãy nâng cấp trình duyệt của bạn ngay hôm nay!

Hương - Theo TheHackerNews