O Google lançou a proteção Device Bound Session Credentials (DBSC) no Chrome 146 para Windows, com o objetivo de impedir que malwares de roubo de informações coletem session cookies.
Usuários de macOS também serão beneficiados por esse recurso de segurança em uma futura versão do Chrome, ainda sem data de lançamento.
Apresentada em 2024, a nova proteção funciona ao vincular criptograficamente a sessão do usuário ao hardware específico do dispositivo, como o chip de segurança do computador, o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS.
Como as chaves pública e privada usadas para criptografar e descriptografar dados sensíveis são geradas pelo próprio chip de segurança, elas não podem ser exportadas da máquina.
Isso impede que o atacante use dados de sessão roubados, já que a chave privada exclusiva que os protege não sai do dispositivo.
“A emissão de novos session cookies de curta duração depende de o Chrome provar ao servidor que possui a chave privada correspondente”, informou o Google em comunicado divulgado nesta terça-feira.
Sem essa chave, qualquer session cookie exfiltrado expira e se torna praticamente inútil para o atacante quase imediatamente.
Um session cookie funciona como um token de autenticação, normalmente com maior tempo de validade, e é criado no servidor com base no nome de usuário e na senha.
O servidor usa esse cookie para identificar o usuário e o envia ao navegador, que o apresenta sempre que ele acessa o serviço online.
Como esses cookies permitem autenticar no servidor sem a necessidade de informar credenciais novamente, criminosos usam malware especializado, conhecido como infostealer, para coletá-los.
Segundo o Google, diversas famílias de infostealer, como o LummaC2, “se tornaram cada vez mais sofisticadas na captura dessas credenciais”, o que permite que hackers acessem contas de usuários.
O protocolo DBSC foi desenvolvido para ser privado por padrão, com cada sessão protegida por uma chave distinta.
Isso impede que sites correlacionem a atividade de um usuário entre várias sessões ou entre diferentes sites no mesmo dispositivo.
Além disso, o protocolo permite uma troca mínima de informações, exigindo apenas a chave pública de cada sessão para comprovar a posse, sem expor identificadores do dispositivo.
Em um ano de testes com uma versão inicial do DBSC, em parceria com várias plataformas web, incluindo a Okta, o Google observou uma queda significativa nos casos de roubo de sessão.
O Google trabalhou com a Microsoft no desenvolvimento do DBSC como um padrão aberto para a web e recebeu contribuições “de muitos profissionais do setor responsáveis por segurança web”.
Os sites podem migrar para sessões mais seguras, vinculadas ao hardware, adicionando endpoints dedicados de registro e renovação em seus backends, sem comprometer a compatibilidade com o frontend já existente.
Desenvolvedores web podem consultar o guia do Google para detalhes de implementação do DBSC.
As especificações estão disponíveis no site do World Wide Web Consortium (W3C), e um material explicativo pode ser encontrado no GitHub.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...