A Google começou a disponibilizar uma nova funcionalidade de segurança no Workspace, destinada a combater ataques que roubam cookies de sessão - os ficheiros temporários usados para manter os utilizadores autenticados. Esta medida surge após um aumento de casos em que atacantes exploram este tipo de falha para assumir o controlo de contas, e que permite ultrapassar sistemas como a autenticação de dois factores.
A nova tecnologia chama-se Device Bound Session Credentials (DBSC) e, como o nome indica, associa os cookies de sessão ao dispositivo em que foram criados. Isto dificulta a vida aos hackers que tentarem transferir esses cookies para outro computador e aceder à conta da vítima como se fossem o utilizador legítimo. Estes ataques são normalmente realizados com malware escondido em ficheiros aparentemente inofensivos, como propostas falsas de parcerias, e podem contornar sistemas de segurança tradicionais. Um dos casos mais mediáticos aconteceu em 2023, quando um hacker conseguiu assumir o controlo do canal Linus Tech Tips no YouTube através desta táctica.
A Google afirma que o roubo de cookies tem crescido de forma substancial, e que a tendência piorou em 2025. O DBSC está agora em fase beta para utilizadores do Chrome no Windows, mas já atraiu o interesse de outras empresas, que poderão implementar o mesmo sistema nos seus próprios produtos e browsers. A empresa recomenda também que, sempre que possível, se passe a utilizar passkeys, uma alternativa moderna às passwords, e que está imune a este (e outros) tipos de ataque.
Sem comentários:
Enviar um comentário (problemas a comentar?)