Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google introduce Device Bound Session Credentials (DBSC) in Chrome 146 per contrastare il furto di cookie di sessione da parte dei malware avanzati. Si tratta di una tecnica usata dai malware per accedere agli account senza digitare una password. La tecnologia lega crittograficamente ogni sessione a un dispositivo TPM o Secure Enclave, rendendo inutilizzabili i cookie rubati. Il sistema consente una riduzione drastica di hijacking e rappresenta un cambio strutturale nella sicurezza dell’autenticazione web.
Gli sviluppatori di Google hanno iniziato a implementare il meccanismo Device Bound Session Credentials (DBSC) in Chrome , che dovrebbe impedire ai malintenzionati di rubare i cookie di sessione. Questa protezione è già disponibile in Chrome 146 per Windows e sarà disponibile anche su macOS in una versione futura.
Google ha annunciato lo sviluppo di DBSC nell’aprile del 2024. L’idea è quella di associare crittograficamente la sessione di un utente a un hardware specifico: un modulo TPM in Windows o un Secure Enclave in macOS.
Una coppia di chiavi univoca viene generata direttamente nel chip di sicurezza; la chiave privata non può essere estratta dal dispositivo e, senza di essa, qualsiasi cookie rubato risulterebbe inutilizzabile.
“I nuovi cookie di sessione di breve durata vengono emessi solo se Chrome è in grado di dimostrare al server di essere il proprietario della chiave privata corrispondente”, spiega Google.
Un cookie di sessione è essenzialmente un token di autenticazione di lunga durata che il server crea dopo l’inserimento di nome utente e password. Per questo motivo, tali cookie sono da tempo un obiettivo ambito per gli autori di malware: possono essere utilizzati per accedere all’account di qualcun altro anche senza password. Google osserva che famiglie di malware come LummaC2 stanno diventando sempre più sofisticate nella raccolta di queste credenziali.
“Una volta che un malware avanzato ottiene l’accesso a un computer, può leggere i file locali e la memoria in cui i browser memorizzano i cookie. Nessun software è in grado di impedirne il furto, nemmeno su un singolo sistema operativo”, afferma l’azienda.
DBSC è stato progettato pensando alla privacy: ogni sessione ha la sua coppia di chiavi, impedendo ai siti web di collegare l’attività dell’utente tra sessioni o risorse diverse sullo stesso dispositivo. Solo la chiave pubblica per una specifica sessione viene trasmessa al server, senza alcun identificativo del dispositivo.
Google riferisce che, durante i test di una versione preliminare di DBSC con Okta e altri partner, ha osservato una significativa riduzione del numero di episodi di dirottamento di sessione.
Per attivare la protezione, i siti web devono semplicemente aggiungere un paio di endpoint al backend: uno per la registrazione e uno per gli aggiornamenti di sessione. Non sarà necessario ricostruire il frontend; tutte le applicazioni web continueranno a funzionare con i cookie standard.
Gli specialisti di Google hanno descritto i dettagli di implementazione in una guida separata per gli sviluppatori, e le specifiche sono state pubblicate sul sito web del W3C .
Gli sviluppatori riferiscono che sono già in corso i lavori per migliorare ulteriormente DBSC. I piani includono il supporto per i binding cross-origin per proteggere l’autenticazione federata, nonché la possibilità di associare nuove sessioni a chiavi attendibili esistenti.
L’azienda sta anche valutando la possibilità di lavorare con chiavi software (per dispositivi sprovvisti di un chip di sicurezza separato).
