📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Google disponibilizou as credenciais de sessão vinculadas ao dispositivo (DBSC) para todos os usuários do Windows em seu navegador Chrome, meses depois de começar a testar o recurso de segurança na versão beta aberta.
No momento, a disponibilidade pública está limitada a usuários do Windows no Chrome 146, e a expansão do macOS está planejada para uma próxima versão do Chrome.
"Este projeto representa um avanço significativo em nossos esforços contínuos para combater o roubo de sessões, que continua sendo uma ameaça predominante no cenário de segurança moderno", disseram as equipes do Chrome e de segurança de contas do Google em uma postagem de quinta-feira.
O roubo de sessão envolve a exfiltração secreta de cookies de sessão do navegador da Web, seja coletando os existentes ou esperando que a vítima faça login em uma conta, em um servidor controlado pelo invasor.
Normalmente, isso acontece quando os usuários baixam inadvertidamente malware que rouba informações em seus sistemas. Essas famílias de malware ladrões (que são muitas, como Atomic, Lumma e Vidar Stealer) vêm com recursos para coletar uma ampla variedade de informações de sistemas comprometidos, incluindo cookies.
Como os cookies de sessão geralmente têm vida útil prolongada, os invasores podem aproveitá-los para obter acesso não autorizado às contas online das vítimas sem precisar saber suas senhas. Depois de coletados, esses tokens são embalados e vendidos a outros agentes de ameaças para obter ganhos financeiros. Os cibercriminosos que os adquirem podem prosseguir com seus próprios ataques.
O DBSC, anunciado pela primeira vez pelo Google em abril de 2024, tem como objetivo combater esse abuso vinculando criptograficamente a sessão de autenticação a um dispositivo específico. Ao fazer isso, a ideia é inutilizar os cookies, mesmo que sejam roubados por malware.
“Ele faz isso usando módulos de segurança apoiados por hardware, como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS, para gerar um par de chaves pública/privada exclusivo que não pode ser exportado da máquina”, explicou o Google.
“A emissão de novos cookies de sessão de curta duração depende do Chrome comprovar a posse da chave privada correspondente ao servidor. Como os invasores não podem roubar essa chave, quaisquer cookies exfiltrados expiram rapidamente e se tornam inúteis para esses invasores.”
Caso o dispositivo de um usuário não suporte o armazenamento seguro de chaves, o DBSC volta ao comportamento padrão sem interromper o fluxo de autenticação, disse o Google em sua documentação para desenvolvedores.
A gigante da tecnologia disse que observou uma redução significativa no roubo de sessões desde o seu lançamento, uma indicação precoce do sucesso da contramedida. O lançamento oficial é apenas o começo, já que a empresa planeja levar o DBSC para uma gama mais ampla de dispositivos e introduzir recursos avançados para melhor integração com ambientes corporativos.
O Google, que trabalhou com a Microsoft para projetar o padrão com o objetivo de torná-lo um padrão da Web aberto, também enfatizou que a arquitetura DBSC é privada por design e que a abordagem de chave distinta garante que os sites não possam usar as credenciais de sessão para correlacionar a atividade de um usuário em diferentes sessões ou sites no mesmo dispositivo.
“Além disso, o protocolo foi projetado para ser enxuto: ele não vaza identificadores de dispositivos ou dados de atestado para o servidor além da chave pública por sessão necessária para certificar a prova de posse”, acrescentou. “Essa troca mínima de informações garante que o DBSC ajude a proteger as sessões sem permitir o rastreamento entre sites ou atuar como um mecanismo de impressão digital do dispositivo”.
No momento, a disponibilidade pública está limitada a usuários do Windows no Chrome 146, e a expansão do macOS está planejada para uma próxima versão do Chrome.
"Este projeto representa um avanço significativo em nossos esforços contínuos para combater o roubo de sessões, que continua sendo uma ameaça predominante no cenário de segurança moderno", disseram as equipes do Chrome e de segurança de contas do Google em uma postagem de quinta-feira.
O roubo de sessão envolve a exfiltração secreta de cookies de sessão do navegador da Web, seja coletando os existentes ou esperando que a vítima faça login em uma conta, em um servidor controlado pelo invasor.
Normalmente, isso acontece quando os usuários baixam inadvertidamente malware que rouba informações em seus sistemas. Essas famílias de malware ladrões (que são muitas, como Atomic, Lumma e Vidar Stealer) vêm com recursos para coletar uma ampla variedade de informações de sistemas comprometidos, incluindo cookies.
Como os cookies de sessão geralmente têm vida útil prolongada, os invasores podem aproveitá-los para obter acesso não autorizado às contas online das vítimas sem precisar saber suas senhas. Depois de coletados, esses tokens são embalados e vendidos a outros agentes de ameaças para obter ganhos financeiros. Os cibercriminosos que os adquirem podem prosseguir com seus próprios ataques.
O DBSC, anunciado pela primeira vez pelo Google em abril de 2024, tem como objetivo combater esse abuso vinculando criptograficamente a sessão de autenticação a um dispositivo específico. Ao fazer isso, a ideia é inutilizar os cookies, mesmo que sejam roubados por malware.
“Ele faz isso usando módulos de segurança apoiados por hardware, como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS, para gerar um par de chaves pública/privada exclusivo que não pode ser exportado da máquina”, explicou o Google.
“A emissão de novos cookies de sessão de curta duração depende do Chrome comprovar a posse da chave privada correspondente ao servidor. Como os invasores não podem roubar essa chave, quaisquer cookies exfiltrados expiram rapidamente e se tornam inúteis para esses invasores.”
Caso o dispositivo de um usuário não suporte o armazenamento seguro de chaves, o DBSC volta ao comportamento padrão sem interromper o fluxo de autenticação, disse o Google em sua documentação para desenvolvedores.
A gigante da tecnologia disse que observou uma redução significativa no roubo de sessões desde o seu lançamento, uma indicação precoce do sucesso da contramedida. O lançamento oficial é apenas o começo, já que a empresa planeja levar o DBSC para uma gama mais ampla de dispositivos e introduzir recursos avançados para melhor integração com ambientes corporativos.
O Google, que trabalhou com a Microsoft para projetar o padrão com o objetivo de torná-lo um padrão da Web aberto, também enfatizou que a arquitetura DBSC é privada por design e que a abordagem de chave distinta garante que os sites não possam usar as credenciais de sessão para correlacionar a atividade de um usuário em diferentes sessões ou sites no mesmo dispositivo.
“Além disso, o protocolo foi projetado para ser enxuto: ele não vaza identificadores de dispositivos ou dados de atestado para o servidor além da chave pública por sessão necessária para certificar a prova de posse”, acrescentou. “Essa troca mínima de informações garante que o DBSC ajude a proteger as sessões sem permitir o rastreamento entre sites ou atuar como um mecanismo de impressão digital do dispositivo”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #google #lança #dbsc #no #chrome #146 #para #bloquear #roubo #de #sessão #no #windows
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário