Google apresentou as Credenciais de Sessão Vinculadas ao Dispositivo com o Chrome 146 para Windows. Este recurso de segurança torna impossível o uso de cookies de sessão roubados em outra máquina, vinculando-os criptograficamente ao hardware de um dispositivo.

O suporte para macOS ainda não foi anunciado. Este recurso foi divulgado pela primeira vez em 2024 e desenvolvido como um padrão aberto em colaboração com a Microsoft.

Como Funciona o DBSC no Chrome 146?

O DBSC vincula a sessão do navegador de um usuário ao hardware de segurança do dispositivo; isso é o Módulo de Plataforma Confiável no Windows e o Espaço Seguro no macOS. Ao criar a sessão, o chip de segurança gera um par de chaves pública e privada exclusivo.

Como a chave privada não pode ser exportada do dispositivo, qualquer cookie de sessão roubado por malware se torna inútil em outro lugar. Cookies de sessão de curta duração são concedidos apenas quando o Chrome pode provar que possui a chave privada correspondente ao servidor. Sem essa prova, os cookies vazados expirarão e não poderão ser usados pelo invasor para autenticação no serviço alvo.

Por que os Cookies de Sessão são um Alvo Importante para Malware?

Cookies de sessão funcionam como tokens de autenticação que permitem que um navegador acesse um serviço online, evitando que o usuário precise fazer login continuamente. Malware como LummaC2, que rouba informações, visa esses cookies porque permite pular completamente o processo de login.

O Google observa que, quando malware ganha acesso a um computador, ele pode ler os arquivos locais e a memória onde os navegadores armazenam os cookies de autenticação. Além disso, enfatiza que uma solução totalmente baseada em software não pode impedir completamente o vazamento de cookies em nível de sistema operacional.

O DBSC aborda esse problema em nível de hardware, tornando os dados roubados inúteis sem acesso físico.

Privacidade do DBSC, Processo de Teste e Adoção

Cada sessão do DBSC gera uma chave única, o que ajuda a evitar que os sites vinculem várias sessões ou atividades em diferentes sites no mesmo dispositivo. O protocolo troca a chave pública necessária para provar a propriedade por sessão e não compartilha identificadores de dispositivo.

No último ano, o Google testou uma versão inicial do DBSC em várias plataformas web, incluindo a Okta, e observou uma redução nos incidentes de roubo de sessão durante esse período. A especificação do DBSC foi publicada no site do W3C. Os sites podem suportar isso adicionando pontos de registro e renovação específicos que não exigem alterações no código de front-end existente.

O DBSC está atualmente ativo no Chrome 146 no Windows. O Google não anunciou um cronograma ou plano de suporte para uma nova versão do Chrome para macOS.