في خطوة جديدة لتعزيز الأمان، أعلنت جوجل عن إطلاق النسخة التجريبية المفتوحة من بيانات الاعتماد المرتبطة بالجهاز (DBSC) وتقديم شفافية أكبر في تقارير الثغرات.
جوجل تطلق النسخة التجريبية المفتوحة من DBSC وتعزز الشفافية في تصحيح الثغرات عبر Project Zero
30 يوليو 2025رافي لاكشمانان
أعلنت جوجل أنها تجعل ميزة أمان تُدعى بيانات الاعتماد المرتبطة بالجهاز (DBSC) متاحة في النسخة التجريبية المفتوحة لضمان حماية المستخدمين من هجمات سرقة ملفات تعريف الارتباط الخاصة بالجلسات.
تم تقديم DBSC لأول مرة كنموذج أولي في أبريل 2024، وهي مصممة لربط جلسات المصادقة بجهاز معين لمنع المهاجمين من استخدام ملفات تعريف الارتباط المسروقة لتسجيل الدخول إلى حسابات الضحايا والحصول على وصول غير مصرح به من جهاز آخر تحت سيطرتهم.
قال أندي وين، المدير الأول لإدارة المنتجات في Google Workspace: “متاحة في متصفح Chrome على نظام Windows، تعزز DBSC الأمان بعد تسجيل الدخول وتساعد في ربط ملف تعريف الارتباط الخاص بالجلسة – وهي ملفات صغيرة تستخدمها المواقع لتذكر معلومات المستخدم – بالجهاز الذي تم المصادقة منه.”
DBSC ليست مخصصة فقط لتأمين حسابات المستخدمين بعد المصادقة. بل تجعل من الصعب على المهاجمين إعادة استخدام ملفات تعريف الارتباط الخاصة بالجلسة وتحسن من سلامة الجلسة.
كما أشارت الشركة إلى أن دعم مفتاح المرور أصبح متاحًا الآن بشكل عام لأكثر من 11 مليون عميل في Google Workspace، بالإضافة إلى توسيع أدوات التحكم الإدارية لتدقيق التسجيل وتقييد مفاتيح المرور بمفاتيح الأمان المادية.
أخيرًا، تعتزم جوجل طرح إطار عمل تبادل الإشارات (SSF) في نسخة تجريبية مغلقة لعملاء مختارين لتمكين تبادل إشارات الأمان الحيوية في الوقت الحقيقي باستخدام معيار OpenID.
قال وين: “يعمل هذا الإطار كنظام قوي لـ ‘المُرسلين’ لإبلاغ ‘المستقبلين’ بسرعة عن الأحداث المهمة، مما يسهل الاستجابة المنسقة للتهديدات الأمنية.”
جوجل Project Zero تكشف عن شفافية التقارير
تأتي هذه التطورات في الوقت الذي أعلنت فيه جوجل Project Zero، وهي فريق أمان داخل الشركة مكلف بالبحث عن الثغرات ذات يوم الصفر، عن سياسة جديدة تجريبية تُدعى شفافية التقارير لمعالجة ما تم وصفه بأنه فجوة تصحيح upstream.
بينما تشير فجوة التصحيح عادةً إلى الفترة الزمنية بين إصدار إصلاح لثغرة وتثبيت المستخدم للتحديث المناسب، تشير فجوة التصحيح upstream إلى الفترة الزمنية التي تتوفر فيها إصلاحات من بائع upstream لكن العملاء downstream لم يدمجوا التصحيح بعد ويقومون بشحنه للمستخدمين النهائيين.
لإغلاق هذه الفجوة، قالت جوجل إنها تضيف خطوة جديدة حيث تعتزم مشاركة اكتشاف الثغرات علنًا في غضون أسبوع من الإبلاغ عنها للبائع المعني.
من المتوقع أن تتضمن هذه المعلومات البائع أو المشروع مفتوح المصدر الذي تلقى التقرير، المنتج المتأثر، تاريخ تقديم التقرير، ومتى تنتهي مهلة الإفصاح البالغة 90 يومًا. تتضمن القائمة الحالية ثغرتين في نظام Windows من مايكروسوفت، وعيبًا واحدًا في Dolby Unified Decoder، وثلاثة مشكلات في Google BigWave.
قال تيم ويليس من Project Zero: “الهدف الرئيسي من هذه التجربة هو تقليص فجوة التصحيح upstream من خلال زيادة الشفافية. من خلال توفير إشارة مبكرة بأن ثغرة قد تم الإبلاغ عنها في upstream، يمكننا إبلاغ المعتمدين downstream بشكل أفضل. بالنسبة لمجموعتنا الصغيرة من القضايا، سيكون لديهم مصدر إضافي للمعلومات لمراقبة القضايا التي قد تؤثر على مستخدميهم.”
أضافت جوجل أنها تخطط لتطبيق هذا المبدأ على Big Sleep، وهو وكيل ذكاء اصطناعي (AI) تم إطلاقه العام الماضي كجزء من تعاون بين DeepMind وGoogle Project Zero لتعزيز اكتشاف الثغرات.
كما أكدت عملاق البحث أنه لن يتم إصدار أي تفاصيل تقنية أو رمز إثبات المفهوم أو أي معلومات أخرى يمكن أن “تساعد بشكل مادي” المهاجمين حتى انتهاء المهلة.
مع هذا النهج الأخير، تأمل جوجل Project Zero في تحريك الأمور نحو إصدار التصحيحات للأجهزة والأنظمة والخدمات التي يعتمد عليها المستخدمون في الوقت المناسب وتعزيز النظام البيئي للأمان بشكل عام.
تستمر جوجل في تعزيز الأمان السيبراني من خلال الابتكارات الجديدة، مما يضمن حماية أفضل لمستخدميها في عالم متزايد التحديات.
