O Google finalmente ativa sua proteção de hardware contra infostealers no Chrome 146. Problema: os usuários de Mac terão que esperar.
Roubar um cookie de sessão significa roubar acesso total a uma conta sem senha ou autenticação dupla. Diante da explosão de infostealers, o Google acaba de lançar um ambicioso desfile em Chrome 146 para Windows. Seu nome: Credenciais de sessão vinculadas ao dispositivoou DBSC para simplificar.
Como o Chrome bloqueia suas sessões na sua máquina
O princípio pode ser resumido em uma frase: cada sessão está ligada ao hardware do PC. Durante a autenticação, o Chrome gera um par de chaves criptográficas armazenado no chip TPM do computador. A chave privada nunca sai do componente. Um servidor que recebe um cookie roubado exige prova de posse dessa chave. Sem ele, o cookie fica inutilizável.
O DBSC também impõe uma rotação frequente de cookies. Mesmo em caso de exfiltração, a janela operacional é reduzida para alguns minutos. O protocolo foi testado durante um ano em uma amostra de usuários. Okta e o Grupo de Trabalho de Segurança na Web do W3C participou. A telemetria das primeiras implantações mostra uma queda mensurável no sequestro de sessão.
Cada sessão depende de uma chave separada. Nenhum site pode correlacionar a atividade de um usuário entre duas sessões ou dois domínios. O Google insiste neste ponto: a proteção não introduz nenhum rastreamento adicional.
Por que os Macs permanecem expostos
No macOS, o mecanismo usará o Enclave Seguro da Apple em vez do TPM. Mas a data de implantação não foi comunicada. Enquanto isso, os usuários de Mac permanecem vulneráveis aos mesmos infostealers que têm como alvo os cookies de sessão há meses. Firefox e Safari, por sua vez, não anunciaram nenhuma implementação equivalente.
No entanto, a ameaça é muito real e mais premente do que pensamos. Todas as defesas anteriores do Chrome foram contornadas. eu’Criptografia vinculada ao aplicativolançado em julho de 2024, durou algumas semanas antes LummaC2, Vidar ou StealC não encontre soluções. Alguns aproveitam a API de depuração remota do Chrome. Outros manipulam as interfaces COM do Windows para extrair cookies de forma transparente. Mais recentemente, um ataque chamado C4 Bomb explorou uma falha de criptografia DPAPI do Windows sem privilégios de administrador.
DBSC é uma virada de jogo ao transferir a confiança para o hardware. O malware pode exfiltrar um arquivo, não uma chave trancada em um chip físico. O Google reconhece isso em sua documentação: nenhuma proteção de software pode garantir a segurança dos cookies uma vez que a máquina tenha sido comprometida. Daí o uso de equipamentos.
O fato é que a proteção hoje cobre apenas uma fração dos usuários do Chrome. E que os invasores não esperarão pela implantação no Mac para adaptar seus métodos. A implantação está em andamento com a atualização 146 do Chrome para Windows
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Por: Ópera
Fonte :