A Google introduziu uma nova e robusta camada de segurança no Chrome 146 para os utilizadores do sistema operativo Windows, desenhada especificamente para bloquear o roubo de dados de sessão por software malicioso. Conforme detalhado no Google Security Blog e na documentação técnica para programadores, a funcionalidade baseia-se no protocolo Device Bound Session Credentials e altera a forma como o navegador gere as autenticações. Os utilizadores de macOS irão beneficiar desta mesma proteção numa futura atualização do navegador, cuja data de lançamento ainda não foi anunciada.
Como funciona a ligação física ao dispositivo
Anunciada originalmente em 2024, esta proteção atua associando criptograficamente a sessão de um utilizador ao hardware específico do seu computador. Para isso, o sistema recorre ao chip de segurança da máquina, como o Trusted Platform Module nos ambientes da Microsoft ou o Secure Enclave nos ecossistemas da Apple.
Dado que as chaves públicas e privadas únicas usadas para encriptar e desencriptar a informação sensível são geradas por este componente físico de segurança, torna-se impossível exportá-las do computador. O navegador tem de provar continuamente ao servidor que possui a chave privada correspondente para que sejam emitidos novos cookies de sessão de curta duração.
O fim da ameaça dos infostealers
Os cookies de sessão funcionam como tokens de autenticação criados pelo lado do servidor a partir do nome de utilizador e da palavra-passe, permitindo aceder a serviços online sem ter de inserir as credenciais repetidamente. Precisamente por facilitarem o acesso direto, os piratas informáticos recorrem a software malicioso especializado, conhecido como infostealer, para extrair estes dados.
Com o novo protocolo, se um atacante conseguir roubar os dados da sessão, a informação torna-se inútil. Sem a chave privada única que reside exclusivamente no chip do computador da vítima, qualquer cookie exfiltrado expira quase instantaneamente e não pode ser utilizado para aceder às contas. A empresa sublinha que famílias avançadas de malware, como o LummaC2, se tornaram altamente sofisticadas na extração destas credenciais, e que depender apenas de software para prevenir o roubo de cookies já não era viável, uma vez que o código malicioso consegue ler os ficheiros locais e a memória do sistema operativo.
Privacidade garantida e adoção do mercado
O protocolo foi construído com a privacidade em mente desde a sua conceção. Cada sessão é suportada por uma chave distinta, o que impede que os sites cruzem a atividade do utilizador entre diferentes plataformas no mesmo dispositivo. Além disso, a troca de informação com o servidor exige apenas a chave pública necessária para certificar a posse da sessão, não expondo identificadores únicos do dispositivo.
Desenvolvido em parceria com a Microsoft como um padrão web aberto, o protocolo recebeu contributos de vários especialistas da indústria de segurança informática. Durante um ano de testes com plataformas web de parceiros como a Okta, registou-se uma queda acentuada nos eventos de roubo de sessões. Os programadores web podem agora atualizar os seus sistemas backend para suportarem estas sessões ligadas ao hardware sem comprometer a compatibilidade com a interface visual já existente.
Nenhum comentário
Seja o primeiro!