Nos últimos meses, surgiu uma nova vulnerabilidade que permitiria um malware para “roubar” cookies do Google Chrome para acessar a conta do Google mesmo depois da senha ter sido alterada (você sabe a diferença entre antimalware e antivírus?).

O Google partiu para o contra-ataque e propôs um novo padrão para a web chamado Credenciais de sessão vinculadas ao dispositivo (DBSC) pretendendo neutralizá-lo: vamos descobrir todos os detalhes.

O que significa roubar cookies?

No final de dezembro de 2023, vários especialistas em segurança descobriram que o malware poderia explorar uma vulnerabilidade para extrair e descrito tokens de acesso armazenados no local onde o banco de dados do Google Chrome.

Esses dados permitem que você envie uma solicitação para a API do Google normalmente usado pelo Chrome para sincronizar contas em diferentes serviços do Google. Desta forma são criados “biscoitos Google estáveis e persistentes” responsáveis pela autenticação que podem ser usados para acessar a conta.

O conceito é que o uso de uma chave de ativação de arquivo de recuperação permite reautorizar os cookies, garantindo a sua validade mesmo após alterar sua senha.

O que é mais preocupante é como esse processo de “restauração” pode ser feito várias vezes se a vítima nunca perceber que foi comprometida. Mas não só. Mesmo depois de redefinir a senha da sua conta do Google, esse exploit pode ser usado novamente para obter acesso à sua conta.

E como se isso não bastasse, a autenticação de dois fatores não oferece proteção, pois ocorre roubo depois que a vítima se conecta.

Os especialistas descobriram que já existem vários malware que exploram esta vulnerabilidade, e o Google afirmou que isso é suficiente para resolver o problema saia do navegador em questão ou remova o acesso remoto da página de dispositivos Google. O Google também recomendou ativar a Navegação segura aprimorada para sua conta.

Um novo protocolo que torna os cookies privados vem em socorro

Para combater esta situação, o grupo de desenvolvimento por trás do Chrome propôs um novo protocolo chamado Credenciais de sessão vinculadas ao dispositivo (DBSC).

Como funciona o DBSC

Este sistema evita roubo de cookies “vinculando sessões de autenticação ao dispositivo” com um par de chaves pública/privada localmente no dispositivo. A chave privada é armazenada no sistema operacional (desktop) usando TPMs (Módulos de plataforma confiáveis) ou abordagens baseadas em software, dificultando assim o roubo.

A API permite que um servidor vincule um sessão para esta chave pública em substituição ou adição aos cookies existentes, e verificar a prova de posse da chave privada durante toda a duração da sessão.

Para garantir a privacidade, “cada sessão é apoiada por uma chave exclusiva e o DBSC não permite que os sites correlacionem chaves de sessões diferentes no mesmo dispositivo”. Finalmente, o Google está trabalhando para garantir que “O DBSC não se tornará um novo vetor de rastreamento quando os cookies de terceiros forem eliminados”.

Na verdade, o Google garante que “A única informação enviada ao servidor é a chave pública por sessão que o servidor utiliza para certificar a prova de posse da chave”.

Quando esta ferramenta chegar

O Google já está testando o Protocolo DBSC no Chrome Beta para algumas contas do Google, e a intenção é tornar o DBSC um padrão aberto da web. O Google pretende testá-lo extensivamente até o final de 2024 escondendo a função atrás de uma bandeira que pode ser ativada por qualquer pessoa que queira usá-lo.

Seu desenvolvimento está disponível no GitHub, e a Microsoft, Okta e outras empresas manifestaram interesse.