O Google disse na terça-feira que está testando um novo recurso no Chrome chamado Machine Sure Session Credentials (DBSC) para ajudar a proteger os usuários contra roubo de cookies de sessão por malware.
O protótipo – atualmente testado em “alguns” usuários de Contas do Google que executam o Chrome Beta – foi construído com o objetivo de torná-lo um padrão aberto da internet, disse a equipe do Chromium da gigante da tecnologia.
“Ao vincular sessões de autenticação ao dispositivo, o DBSC pretende perturbar a indústria de roubo de cookies, uma vez que a exfiltração desses cookies não terá mais qualquer valor”, observou a empresa.
“Acreditamos que isso reduzirá substancialmente a taxa de sucesso do malware de roubo de cookies. Os invasores seriam forçados a agir localmente no dispositivo, o que torna a detecção e a limpeza no dispositivo mais eficazes, tanto para software program antivírus quanto para dispositivos gerenciados pela empresa. .”
O desenvolvimento vem na sequência de relatos de que malwares que roubam informações disponíveis no mercado estão encontrando maneiras de roubar cookies de uma maneira que permite que os agentes da ameaça contornem a proteção da autenticação multifator (MFA) e obtenham acesso não autorizado a contas on-line.
Essas técnicas de sequestro de sessão não são novas. Em outubro de 2021, o Menace Evaluation Group (TAG) do Google detalhou uma campanha de phishing que tinha como alvo os criadores de conteúdo do YouTube com malware de roubo de cookies para sequestrar suas contas e monetizar o acesso para perpetrar golpes de criptomoeda.
No início de janeiro, CloudSEK revelou que ladrões de informações como Lumma, Rhadamanthys, Stealc, Meduza, RisePro e WhiteSnake atualizaram suas capacidades para sequestrar sessões de usuários e permitir acesso contínuo aos serviços do Google, mesmo após uma redefinição de senha.
O Google disse ao The Hacker Information na época que “os ataques envolvendo malware que roubam cookies e tokens não são novos; atualizamos rotineiramente nossas defesas contra tais técnicas e para proteger os usuários que são vítimas de malware”.
Além disso, recomendou que os usuários habilitassem a navegação segura aprimorada no navegador Chrome para proteção contra downloads de phishing e malware.
O DBSC pretende reduzir esses esforços maliciosos, introduzindo uma abordagem criptográfica que une as sessões ao dispositivo, de modo que seja mais difícil para os adversários abusarem dos cookies roubados e sequestrarem as contas.
Oferecido por meio de uma API, o novo recurso permite que um servidor associe uma sessão a uma chave pública criada pelo navegador como parte de um par de chaves pública/privada quando uma nova sessão é iniciada.
Vale a pena notar que o par de chaves é armazenado localmente no dispositivo usando Trusted Platform Modules (TPMs). Além disso, a API DBSCI permite que o servidor verifique a prova de posse da chave privada durante todo o tempo de vida da sessão para garantir que a sessão esteja ativa no mesmo dispositivo.
“O DBSC oferece uma API para websites controlarem a vida útil de tais chaves, por trás da abstração de uma sessão, e um protocolo para provar periodicamente e automaticamente a posse dessas chaves aos servidores do web site”, disseram Kristian Monsen e Arnar Birgisson do Google.
“Há uma chave separada para cada sessão e não deve ser possível detectar que duas chaves de sessão diferentes são de um dispositivo. Ao vincular a chave privada ao dispositivo e com intervalos apropriados de provas, o navegador pode limitar a capacidade do malware de descarregar seu abuso do dispositivo do usuário, aumentando significativamente an opportunity de o navegador ou o servidor detectar e mitigar o roubo de cookies.”
Uma advertência essential é que os bancos DBSC nos dispositivos dos usuários têm uma maneira segura de assinar desafios, ao mesmo tempo que protegem as chaves privadas contra exfiltração por malware, exigindo que o navegador da internet tenha acesso ao TPM.
O Google disse que o suporte para DBSC será inicialmente implementado para cerca de metade dos usuários de desktop do Chrome com base nas capacidades de {hardware} de suas máquinas. Espera-se também que o projeto mais recente esteja em sincronia com os planos mais amplos da empresa de eliminar cookies de terceiros no navegador até o remaining do ano, por meio da iniciativa Privateness Sandbox.
“Isso é para garantir que o DBSC não se torne um novo vetor de rastreamento quando os cookies de terceiros forem eliminados, ao mesmo tempo que garante que esses cookies possam ser totalmente protegidos nesse meio tempo”, afirmou. “Se o usuário cancelar completamente os cookies, cookies de terceiros ou cookies para um web site específico, isso desativará o DBSC também nesses cenários”.
A empresa observou ainda que está interagindo com vários provedores de servidores, provedores de identidade (IdPs) e fornecedores de navegadores como Microsoft Edge e Okta, que manifestaram interesse no DBSC. Os testes de origem do DBSC para todos os websites suportados estão programados para começar até o remaining do ano.