Chrome com protecção de roubo de cookies

Depois da fase beta, a Google faz chegar a protecção contra roubo de cookies a todos os utilizadores do Chrome.

A Google começou a disponibilizar uma importante funcionalidade de segurança no Chrome destinada a combater um dos métodos mais utilizados para roubo de contas online. A tecnologia Device Bound Session Credentials (DBSC) começou a ser testada em Abril e visa impedir o roubo de cookies de sessão que podem ser usados para aceder a contas, mesmo aquelas que são protegidas por autenticação multifactor.

Os cookies de sessão são pequenos ficheiros que permitem aos websites manter os utilizadores autenticados após o início de sessão. Nos últimos anos, diversos tipos de malware especializados em roubo de informação passaram a capturar estes cookies para contornar palavras-passe e sistemas de autenticação adicionais. O DBSC procura eliminar esse problema ao associar criptograficamente cada sessão ao dispositivo onde o utilizador efectuou o login.

A funcionalidade tira partido de componentes de segurança presentes no hardware dos computadores, como o Trusted Platform Module (TPM) no Windows ou o Secure Enclave nos dispositivos Apple. As chaves criptográficas necessárias para validar a sessão são geradas e armazenadas nestes módulos protegidos, impedindo que sejam copiadas ou utilizadas noutro equipamento. Mesmo que um atacante consiga roubar um cookie de sessão, não conseguirá utilizá-lo sem acesso às chaves armazenadas no dispositivo original.

Segundo a Google, a tecnologia já está a ser distribuída para contas pessoais, subscritores Workspace Individual e clientes Google Workspace. Com isto, espera-se que o roubo de cookies para autenticação se torne irrelevante, com os óbvios benefícios de segurança para os utilizadores.