Chrome 146 ganha protecção contra roubo de cookies

O Chrome passa finalmente a proteger os cookies contra o roubo por malware ou hackers.

A Google está a lançar uma nova funcionalidade de segurança no Chrome 146 para combater um dos métodos mais comuns de ataque: o roubo de cookies de sessão. Chamada Device Bound Session Credentials (DBSC), esta tecnologia associa as sessões ao hardware do utilizador, fazendo com que os cookies roubados deixem de funcionar noutras máquinas.

O conceito é simples mas eficaz. Em vez de depender apenas de cookies guardados no browser, o DBSC utiliza chaves criptográficas geradas pelos chips de segurança como o TPM no Windows ou o Secure Enclave no macOS. Estas chaves nunca saem do dispositivo, impedindo a sua replicação noutros sistemas.

O sistema protege os utilizadores contra os ataques do tipo "infostealer" que se focam no roubo de cookies de sessão que permitiriam aos atacantes ganhar acesso directo a serviços, ultrapassando a necessidade de passwords e até códigos 2FA. Com o DBSC, mesmo que os dados sejam roubados, não podem ser reutilizados pelo o atacante por não ter acesso à chave privada do dispositivo original.

A funcionalidade já está disponível no Chrome 146 para Windows e deverá chegar ao macOS em breve. Obviamente, ter em conta que isto não protege os utilizadores contra malware que espie e roube directamente os dados de login, como a password, ou os redireccione para sites maliciosos.