꿈을꾸는 파랑새

구글에서 제공하는 브라우저인 구글 크롬(Google Chrome)에서 Device Bound Session Credentials 라는 새로운 Chrome 보안 기능을 발표했습니다.
쿠키는 웹사이트가 귀하의 탐색 정보와 기본 설정을 기억하고 서비스나 웹사이트에 자동으로 로그인하는 데 사용하는 파일이며 
이러한 쿠키는 귀하가 서비스에 로그인하고 다단계 인증을 확인하고 생성되므로 앞으로 로그인 시 다단계 인증(MFA)을 우회할 수 있습니다.
불행하게도 공격자는 악성 코드를 사용하여 이러한 쿠키를 훔쳐서 연결된 계정을 하이재킹하라는 MFA 메시지를 우회 가능합니다.
문제를 해결하기 위해 Google은 DBSC(기기 바인딩된 세션 자격 증명) 라는 새로운 기능을 개발 중 입니다.
인증 쿠키를 암호화 방식으로 귀하의 기기에 바인딩하여 공격자가 쿠키를 훔치는 것을 불가능하게 하려고 입니다.
DBSC를 활성화하면 인증 프로세스는 장치의 TPM(신뢰할 수 있는 플랫폼 모듈) 칩을 사용하여 생성된 특정 새 공개/개인 키 쌍에 연결되며 해당 칩은 유출될 수 없으며 장치에 안전하게 저장되며 쿠키를 사용하면 귀하의 계정에 접근할 수 없습니다.
Google Chrome Counter Abuse 팀의 소프트웨어 엔지니어인 Kristian Monsen 은 인증 세션을 기기에 바인딩함으로써 DBSC는 이러한 쿠키를 유출하는 것이 더는 가치가 없어서 쿠키 도난 업계를 혼란에 빠뜨리는 것을 목표로 합니다.
아직 해당 기능은 프로토타입이지만 Windows, Linux 및 mac OS에서 enable-bound-session-credentials 전용 플래그를 활성화하여 DBSC를 테스트할 수 있습니다.

Google Chrome 123.0.6312.106
Google Chrome 123.0.6312.106

Device Bound Session Credentials 사용 방법

먼저 구글 크롬을 실행을 하고 나서 주소 부분에 chrome://flags/ 입력을 합니다.
그리고 나서 enable-bound-session-credentials 를 검색을 합니다.
Device Bound Session Credentials
Enables Google session credentials binding to cryptographic keys that are practically impossible to extract from the user device. This will mostly prevent the usage of bound credentials outside of the user device. – Mac, Windows, Linux
#enable-bound-session-credentials
Device Bound Session Credentials with software keys
Enables mock software-backed cryptographic keys for Google session credentials binding (not secure). This is intented to be used for manual testing only. – Mac, Windows, Linux
#enable-bound-session-credentials-software-keys-for-manual-testing
부분이 보일것입니다.
enable-bound-session-credentials 해당 부분을 Enabled로 변경하고 브라우저를 한번 재부팅 하시면 됩니다.

Device Bound Session Credentials
Device Bound Session Credentials

DBSC는 서버가 브라우저에서 새 세션을 시작하고 전용 API(응용 프로그래밍 인터페이스)를 사용하여 장치에 저장된 공개 키와 연결하도록 허용함으로써 작동하며 각 세션은 귀하의 개인 정보를 보호하기 위해 고유한 키로 지원되며 서버는 나중에 소유권을 확인하는 데 사용되는 공개 키만 수신
DBSC는 사이트가 같은 장치의 여러 세션에서 사용자를 추적하는 것을 허용하지 않으며 생성된 키를 언제든지 삭제할 수 있습니다.
해당 새로운 보안 기능은 처음에는 모든 구글 크롬 데스크톱 장치의 약 절반에서 지원될 예정이며 구글 크롬 에서 타사 쿠키가 단계적으로 폐지되는 것과 완전히 일치할 것입니다.
Monsen은 완전히 배포되면 소비자와 기업 사용자는 자동으로 Google 계정에 대한 업그레이드된 보안을 받게 됩니다. 라고 덧붙였음
또한, Google Workspace 및 Google Cloud 고객이 이 기술을 사용하여 계정 보안을 한층 더 강화할 수 있도록 노력하고 있음
문서로 만들어 지지 않은 Google OAuth MultiLogin API 엔드포인트를 최근 몇 달 동안 위협 행위자들은 이전에 도난당한 쿠키가 만료되고 새로운 인증 쿠키를 생성하기 위해 악용됐습니다.
해당 기능은 필요하신 분들은 한번 사용을 해 보시는 것을 추천 드립니다.
그리고 Pwn2Own 발견된 구글 크롬 취약점 CVE-2024-3159 인 윈격 공격자는 조작된 HTML 페이지를 사용하여 이 취약점을 악용하여 힙 손상을 통해 메모리 버퍼를 넘어서는 데이터에 액세스할 수 있으며 이로 말미암아 민감한 정보가 제공되거나 충돌이 발생할 수 있음 즉 구글 크롬 보안 업데이트도 필요합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band