O Google anunciou uma nova funcionalidade de segurança para o Chrome chamada 'Credenciais de Sessão Vinculadas ao Dispositivo' (Device Bound Session Credentials - DBSC), que associa cookies a um dispositivo específico, impedindo que hackers os roubem e os usem para sequestrar contas dos usuários.
Cookies são arquivos que os sites usam para lembrar suas informações de navegação e preferências, e automaticamente fazer login em um serviço ou site.
Esses cookies são criados após você fazer login em um serviço e verificar autenticações multifator, permitindo que eles contornem a autenticação multifator (MFA) em futuros logins.
Infelizmente, invasores usam malware para roubar esses cookies, assim, contornando solicitações de MFA para sequestrar as contas vinculadas.
Para resolver esse problema, o Google está trabalhando em uma nova funcionalidade chamada Credenciais de Sessão Vinculadas ao Dispositivo (DBSC), que torna impossível para os atacantes roubarem seus cookies, vinculando criptograficamente seus cookies de autenticação ao seu dispositivo.
Depois de ativar o DBSC, o processo de autenticação é vinculado a um novo par de chaves público/privado, gerado usando o chip Trusted Platform Module (TPM) do seu dispositivo, que não pode ser exfiltrado e é armazenado de forma segura no seu dispositivo.
Então, mesmo que um invasor roube seus cookies, ele não poderá acessar suas contas.
"Ao vincular sessões de autenticação ao dispositivo, o DBSC visa interromper a indústria de roubo de cookies, pois a exfiltração desses cookies não terá mais valor", disse Kristian Monsen, um engenheiro de software da equipe de Contraposição a Abusos do Chrome do Google.
"Acreditamos que isso reduzirá substancialmente a taxa de sucesso do malware de roubo de cookies.
Os atacantes seriam forçados a agir localmente no dispositivo, o que torna a detecção no dispositivo e a limpeza mais eficazes, tanto para software antivírus quanto para dispositivos gerenciados por empresas."
Embora ainda esteja na fase de protótipo, de acordo com esse cronograma estimado compartilhado pelo Google, você pode testar o DBSC acessando chrome://flags/ e ativando a flag dedicada "enable-bound-session-credentials" nos navegadores web baseados em Chromium para Windows, Linux e macOS.
O DBSC funciona permitindo que um servidor inicie uma nova sessão com o seu navegador e a associe a uma chave pública armazenada no seu dispositivo, usando uma API (Interface de Programação de Aplicativos) dedicada.
Cada sessão é respaldada por uma chave única para proteger sua privacidade, com o servidor recebendo apenas a chave pública usada para verificar a posse posteriormente.
O DBSC não possibilita que os sites rastreiem você em diferentes sessões no mesmo dispositivo, e você pode deletar as chaves que ele cria a qualquer momento.
Espera-se que essa nova capacidade de segurança seja inicialmente suportada por cerca da metade de todos os dispositivos de desktop do Chrome, e ela estará totalmente alinhada com a eliminação gradual de cookies de terceiros no Chrome.
"Quando for totalmente implantado, consumidores e usuários corporativos obterão uma segurança aprimorada para suas contas do Google automaticamente, por baixo dos panos", adicionou Monsen.
"Estamos também trabalhando para habilitar esta tecnologia para nossos clientes do Google Workspace e Google Cloud, para fornecer mais uma camada de segurança de conta."
Nos últimos meses, atores de ameaças têm abusado do ponto de extremidade API do Google OAuth "MultiLogin" não documentado para gerar novos cookies de autenticação após os anteriormente roubados terem expirado.
Anteriormente, o BleepingComputer relatou que as operações de malware de roubo de informações Lumma e Rhadamanthys alegaram que poderiam restaurar cookies de autenticação do Google expirados roubados em ataques.
Naquela época, o Google aconselhou os usuários a removerem qualquer malware de seus dispositivos e recomendou a ativação da Navegação Segura Aprimorada no Chrome para se defender contra ataques de phishing e malware.
No entanto, essa nova funcionalidade efetivamente bloqueará os atores de ameaças de abusarem desses cookies roubados, já que eles não terão acesso às chaves criptográficas necessárias para usá-los.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...