O Google Chrome agora oferece proteção contra roubo de sessão de autenticação.

O Google implementou as Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) no Chrome 146 para Windows, que protege contra o roubo de cookies de sessão por malware. Essa medida de segurança vincula criptograficamente as sessões ativas do usuário ao hardware de seus dispositivos, tornando os dados de autenticação roubados inutilizáveis ​​por hackers. Os usuários do macOS receberão essa proteção em uma futura atualização do navegador.

Anunciada em 2024, a tecnologia funciona vinculando-se a componentes de hardware — o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS. O chip de segurança gera chaves públicas e privadas exclusivas para criptografar os dados, que não podem ser exportadas do dispositivo. Novos cookies de sessão de curta duração são emitidos somente depois que o Chrome comprova a posse da chave privada correspondente ao servidor. Sem essa chave, os cookies roubados expiram e se tornam inúteis para invasores quase imediatamente.

Fonte da imagem: Google

Vamos recapitular como funcionam os cookies de sessão. Eles servem como tokens de autenticação de longa duração para fazer login em uma determinada plataforma da internet e são criados no servidor com base no login e senha do usuário. Como permitem a autenticação sem a necessidade de inserir credenciais, os cibercriminosos usam malware especializado (roubo de informações) para coletar esses tokens.

O Google observa que malwares como o LummaC2 estão se tornando cada vez mais sofisticados no roubo de credenciais. Após obter acesso a uma máquina, esse malware pode ler arquivos locais e a memória onde os navegadores armazenam cookies de autenticação, e não há uma maneira confiável de impedir que sejam roubados apenas por software.

O protocolo DBSC, por outro lado, requer uma troca mínima de informações na forma de uma chave pública para confirmar a propriedade (sem revelar identificadores do dispositivo) e protege cada sessão com uma chave separada, impedindo que os sites rastreiem a atividade do usuário entre sessões.

O Google testou uma versão inicial do DBSC com diversas plataformas web, incluindo o Okta, e registrou uma redução significativa no sequestro de sessão. O protocolo foi desenvolvido em parceria com a Microsoft como um padrão web aberto e recebeu avaliações positivas de muitos especialistas em segurança web. Os sites podem migrar para sessões mais seguras, baseadas em hardware, adicionando pontos dedicados de registro e atualização ao seu backend, sem perder a compatibilidade com o frontend existente. As especificações estão disponíveis no site do World Wide Web Consortium (W3C), e orientações detalhadas para implementação podem ser encontradas em [link para o guia de implementação].Documentação do Google e no GitHub.