O Google informou que o recurso de segurança Chrome Device Bound Session Credentials (DBSC) já está disponível de forma geral e começou a ser distribuído para todos os usuários com o objetivo de evitar o sequestro de contas.
Disponível em beta desde abril, o DBSC foi apresentado pela primeira vez em 2024 como uma forma de vincular criptograficamente os cookies de sessão a um dispositivo específico, impedindo que hackers usem cookies roubados para burlar a autenticação multifator (MFA) e invadir contas de usuários.
O DBSC funciona ao associar de forma criptográfica as sessões do usuário ao hardware, como o chip de segurança do computador, por exemplo, o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS.
Como as chaves pública e privada usadas para criptografar e descriptografar dados sensíveis são geradas pelo chip de segurança, elas não podem ser roubadas, o que impede que invasores usem cookies de sessão furtados.
“O DBSC muda fundamentalmente a capacidade da web de se defender contra essa ameaça ao trocar o paradigma da detecção reativa pela prevenção proativa, garantindo que cookies exfiltrados com sucesso não possam ser usados para acessar as contas dos usuários”, disse o Google em abril.
“O DBSC fortalece a segurança da conta depois que os usuários fazem login e ajuda a vincular um cookie de sessão, pequenos arquivos usados por sites para lembrar informações do usuário, ao dispositivo a partir do qual ele se autenticou.
Mesmo que haja malware presente no dispositivo do usuário, o DBSC reduz o risco de roubo de sessão e torna significativamente mais difícil para agentes mal-intencionados explorarem cookies de sessão roubados”, acrescentou a empresa nesta semana.
O recurso está sendo distribuído para todos os clientes do Google Workspace, assinantes do Workspace Individual e usuários com contas pessoais do Google.
O Google também informou que o DBSC será ativado por padrão para todos os clientes do Google Workspace assim que a distribuição avançar e que os administradores não poderão desativá-lo.
No passado, threat actors abusaram do endpoint não documentado da API Google OAuth “MultiLogin” para gerar novos cookies de autenticação depois que os roubados expiravam.
As operações de malware infostealer Lumma e Rhadamanthys também afirmaram que conseguiam restaurar cookies de autenticação expirados do Google, roubados em ataques, para obter acesso às contas do Google de usuários infectados.
Na época, o Google orientou os clientes a remover malware de seus dispositivos e recomendou ativar o modo de navegação segura aprimorada do Chrome para se proteger contra phishing e ataques com malware.
Agora, o novo recurso de segurança Chrome Device Bound Session Credentials (DBSC) deve bloquear de forma eficaz a ação de agentes mal-intencionados que tentem abusar desses cookies roubados, já que eles não terão acesso às chaves criptográficas necessárias para utilizá-los.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...