PayPal registra patente para novo método de detectar cookies roubados
26 de Fevereiro de 2024

O PayPal registrou uma solicitação de patente para um novo método que possa identificar quando um "super-cookie" é roubado, o que poderia melhorar o mecanismo de autenticação baseado em cookies e limitar ataques de invasão de contas.

O risco que o PayPal deseja abordar é o de hackers roubando cookies contendo tokens de autenticação para fazer login nas contas das vítimas sem a necessidade de credenciais válidas e burlando a autenticação de dois fatores (2FA).

"O roubo de cookies é uma forma sofisticada de ciberataque, onde um invasor rouba ou copia cookies do computador de uma vítima para o navegador da web do invasor", diz o PayPal na solicitação de patente.

"Com cookies roubados contendo frequentemente senhas criptografadas, o invasor pode usar um navegador da web no computador do invasor para se passar pelo usuário (ou dispositivo autenticado do mesmo) e obter acesso às informações seguras associadas à conta do usuário sem ter que fazer login manualmente ou fornecer credenciais de autenticação", é explicado ainda.

Diferentemente dos cookies padrão armazenados localmente, os super-cookies (também chamados de "cookies Flash") são Objetos Locais Compartilhados (OLC) que são injetados no nível da rede como cabeçalhos de identificador único (UIDH) pelo provedor de serviços de internet (ISP) do usuário.

Esses super-cookies são usados principalmente para rastreamento entre sites, acompanhando usuários em diferentes navegadores no mesmo dispositivo, coletando dados sobre atividade de navegação e servindo como "impressões digitais de dispositivo" persistentes.

Os super-cookies são mais difíceis de detectar e apagar porque não são armazenados no local padrão de armazenamento de cookies do navegador.

Os engenheiros do PayPal identificaram um método para calcular uma pontuação de risco de fraude no mecanismo de autenticação baseado em cookies para identificar tentativas de login fraudulentas na plataforma de pagamentos eletrônicos.

Quando um sistema recebe um pedido de autenticação de um dispositivo do usuário, ele identifica vários locais de armazenamento de cookies no dispositivo e os classifica "em ordem crescente de risco de fraude".

"Um valor de cookie para cada local de armazenamento é recuperado do dispositivo.

Para cada local de armazenamento após o primeiro: um valor de cookie esperado é calculado com base no valor de cookie de um local de armazenamento anterior", lê-se no resumo da solicitação de patente.

O sistema do PayPal então avalia uma pontuação de risco comparando os valores de cookie esperados com os valores atribuídos para os locais de armazenamento do dispositivo.

"O pedido de autenticação é processado com base em se a pontuação atribuída para pelo menos um dos locais de armazenamento excede uma tolerância de risco predeterminada para detecção de fraude."

Com base na avaliação de risco, o sistema gerencia os pedidos de autenticação de acordo, aceitando, rejeitando ou ativando medidas de segurança adicionais para a aprovação da tentativa de login.

Para garantir segurança contra adulteração, os valores de cookie recuperados são criptografados usando um algoritmo criptográfico de chave pública.

A patente do PayPal descreve um método que visa combater os ciberataques garantindo que os cookies sejam usados legitimamente durante o processo de autenticação.

O gigante dos pagamentos eletrônicos entrou com a patente intitulada "Identificação de Super-Cookie para Detecção de Cookie Roubado" em julho de 2022, e foi publicada pelo Escritório de Patentes e Marcas Registradas dos Estados Unidos no início deste mês.

Como todas as patentes, não há garantia de que a tecnologia descrita no documento chegue aos portais do consumidor, nessa forma ou de outra, mas mostra que os cookies roubados para logins não autorizados são um problema suficiente para merecer novos mecanismos de proteção.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...