Útoky, které využívají krádež session cookies, patří k nejnebezpečnějším v oblasti online účtů. Dějí se často tak, že oběť stáhne malware – typicky pod záminkou nabídky na spolupráci, fiktivního PDF nebo pluginu – a ten bez vědomí uživatele odešle přihlašovací tokeny na vzdálený server.

Tyto tokeny slouží prohlížečům k tomu, aby uživatel nemusel při každém načtení stránky znovu zadávat heslo. Pokud je útočník získá, může se přihlásit do účtu zcela bez hesla a bez ověření, protože v očích systému je už přihlášený.

Device Bound Session Credentials: tokeny vázané na zařízení

Google na tento problém reaguje novou funkcí s názvem Device Bound Session Credentials (DBSC). Jak název napovídá, jde o navázání přihlašovacích cookies na konkrétní zařízení. Jinými slovy: i kdyby útočník získal token z napadeného počítače, na svém zařízení jej prostě nepoužije.
Podle Googlu taková ochrana významně zvyšuje bezpečnost Workspace účtů, protože zamezí právě scénářům, kdy se útočník přihlásí na dálku bez jakéhokoliv upozornění nebo zásahu ze strany uživatele.

Motivace? Případ Linus Tech Tips a rostoucí trend

Motivace Googlu k vývoji DBSC není čistě akademická. V roce 2023 došlo k převzetí YouTube kanálů společnosti Linus Media Group, včetně slavného Linus Tech Tips, právě přes cookie-stealing malware. Útočníci využili falešný sponzorský e-mail, jehož příloha obsahovala škodlivý kód – po jeho otevření došlo ke krádeži tokenu a převzetí přístupu.
YouTube letos dokonce znovu varoval tvůrce před podobnými praktikami, což jen dokazuje, že se nejedná o výjimečné případy.

Zdroj: Shutterstock

Funkce je v betaverzi. Do budoucna i v dalších prohlížečích

Funkce DBSC se momentálně testuje v beta režimu, a to u uživatelů prohlížeče Chrome na Windows. Google však uvádí, že zájem o implementaci projevil i Microsoft Edge a ověřovací platforma Okta.
Ochrana se týká především firemních uživatelů Google Workspace, kterých je aktuálně přes 11 milionů. Google zároveň doporučuje správcům povolit i přihlášení pomocí passkeys, které ještě více omezí možnost zneužití klasických hesel a tokenů.

Krádež tokenů narůstá. Google mluví o „exponenciálním růstu“

Google otevřeně přiznává, že krádeže cookies a autentizačních tokenů v posledních dvou letech prudce vzrostly – a že tento trend v roce 2025 dále sílí. Vzhledem k tomu, že většina tradičních ochran (včetně dvoufaktorového ověření) tyto útoky neřeší, je zavedení DBSC logickým krokem.
Podle mluvčího Googlu Rosse Richendrfera je tento typ útoku pro útočníky „nízko visící ovoce“ právě proto, že většina bezpečnostních opatření začíná až po přihlášení – a nikoli u samotného tokenu.