جوجل تطلق النسخة التجريبية المفتوحة من DBSC وتعزز الشفافية في التصحيح عبر Project Zero
في 30 يوليو 2025، أعلنت جوجل عن إطلاق ميزة أمان جديدة تُدعى اعتمادات الجلسة المرتبطة بالجهاز (DBSC) في النسخة التجريبية المفتوحة، لضمان حماية المستخدمين من هجمات سرقة ملفات تعريف الارتباط للجلسة.
تم تقديم DBSC لأول مرة كنموذج أولي في أبريل 2024، وهي مصممة لربط جلسات المصادقة بجهاز معين لمنع المهاجمين من استخدام ملفات تعريف الارتباط المسروقة لتسجيل الدخول إلى حسابات الضحايا والحصول على وصول غير مصرح به من جهاز آخر تحت سيطرتهم.
قال أندي وين، مدير إدارة المنتجات في جوجل وورك سبيس: “متاحة في متصفح كروم على ويندوز، تعزز DBSC الأمان بعد تسجيل الدخول وتساعد على ربط ملف تعريف الارتباط للجلسة – وهي ملفات صغيرة تستخدمها المواقع لتذكر معلومات المستخدم – بالجهاز الذي تم المصادقة منه.”
لا تهدف DBSC فقط إلى تأمين حسابات المستخدمين بعد المصادقة، بل تجعل من الصعب على المهاجمين إعادة استخدام ملفات تعريف الارتباط للجلسة وتحسن من سلامة الجلسة.
كما أشارت الشركة إلى أن دعم مفاتيح المرور أصبح متاحًا الآن بشكل عام لأكثر من 11 مليون عميل من عملاء جوجل وورك سبيس، بالإضافة إلى توسيع أدوات التحكم الإدارية لمراجعة التسجيل وتقييد مفاتيح المرور بمفاتيح الأمان المادية.
أخيرًا، تعتزم جوجل طرح إطار عمل تبادل الإشارات المشتركة (SSF) في نسخة تجريبية مغلقة لعملاء مختارين لتمكين تبادل إشارات الأمان الحيوية في الوقت الفعلي باستخدام معيار OpenID.
قال وين: “يعمل هذا الإطار كنظام قوي لـ ‘المُرسلِين’ لإبلاغ ‘المستقبلين’ بسرعة بالأحداث المهمة، مما يسهل الاستجابة المنسقة للتهديدات الأمنية.”
مشروع جوجل زيرو يكشف عن الشفافية في التقارير
تأتي هذه التطورات في الوقت الذي أعلن فيه مشروع جوجل زيرو، وهو فريق أمني داخل الشركة مكلف بمطاردة الثغرات الأمنية، عن سياسة جديدة تُدعى الشفافية في التقارير لمعالجة ما يُوصف بأنه فجوة في التصحيح upstream.
تشير فجوة التصحيح عادةً إلى الفترة الزمنية بين إصدار إصلاح لثغرة أمنية وتثبيت المستخدم للتحديث المناسب، بينما تشير فجوة التصحيح upstream إلى الفترة الزمنية التي يتوفر فيها إصلاح من بائع upstream ولكن العملاء downstream لم يدمجوا التصحيح بعد ويقومون بشحنه للمستخدمين النهائيين.
لإغلاق هذه الفجوة، قالت جوجل إنها ستضيف خطوة جديدة حيث تعتزم مشاركة اكتشاف الثغرات علنًا في غضون أسبوع من الإبلاغ عنها إلى البائع المعني.
من المتوقع أن تتضمن هذه المعلومات البائع أو المشروع مفتوح المصدر الذي تلقى التقرير، المنتج المتأثر، تاريخ تقديم التقرير، ومتى تنتهي مهلة الإفصاح البالغة 90 يومًا. تتضمن القائمة الحالية ثغرتين في ويندوز من مايكروسوفت، وخللًا واحدًا في Dolby Unified Decoder، وثلاث مشكلات في Google BigWave.
قال تيم ويليس من مشروع زيرو: “الهدف الرئيسي من هذه التجربة هو تقليص فجوة التصحيح upstream من خلال زيادة الشفافية. من خلال توفير إشارة مبكرة بأن ثغرة قد تم الإبلاغ عنها upstream، يمكننا إبلاغ المعتمدين downstream بشكل أفضل. بالنسبة لمجموعتنا الصغيرة من القضايا، سيكون لديهم مصدر إضافي للمعلومات لمراقبة القضايا التي قد تؤثر على مستخدميهم.”
أضافت جوجل أنها تخطط لتطبيق هذا المبدأ على Big Sleep، وهو وكيل ذكاء اصطناعي تم إطلاقه العام الماضي كجزء من تعاون بين DeepMind ومشروع جوجل زيرو لتعزيز اكتشاف الثغرات الأمنية.
كما أكدت عملاق البحث أنها لن تُصدر أي تفاصيل تقنية أو كود إثبات المفهوم أو أي معلومات أخرى يمكن أن “تساعد بشكل مادي” المهاجمين حتى انتهاء المهلة.
من خلال هذا النهج الأخير، يأمل مشروع جوجل زيرو في تسريع إصدار التصحيحات للأجهزة والأنظمة والخدمات التي يعتمد عليها المستخدمون النهائيون في الوقت المناسب وتعزيز النظام البيئي للأمان بشكل عام.
