Non più Biscottini! Google Chrome crea il Device Bound Session Credentials (DBSC) per il riutilizzo dei cookie

Google ha annunciato una nuova funzionalità di sicurezza di Chrome. Si chiama Device Bound Session Credentials e associa i cookie a un dispositivo specifico. Questo dovrebbe impedire agli hacker di rubare i cookie e di utilizzarli per hackerare gli account.

Per risolvere il problema dei cookie che vengono rubati e quindi utilizzati per aggirare l’autenticazione a più fattori, Google ha creato il DBSC. Tale funzionalità lega crittograficamente i cookie di autenticazione a un dispositivo specifico.

Una volta attivato il DBSC, il processo di autenticazione viene associato a una nuova coppia di chiavi pubblica e privata. Tale chiave viene generata utilizzando il chip TPM (Trusted Platform Module) sul dispositivo. Durante la sessione, il server verifica periodicamente la chiave privata per assicurarsi che sia ancora sullo stesso dispositivo. Gli sviluppatori assicurano che tali chiavi non possono essere rubate in quanto vengono archiviate in modo sicuro sul dispositivo. Anche se gli aggressori rubassero i cookie, non sarebbero in grado di accedere agli account della vittima.

“Legando le sessioni di autenticazione a un dispositivo, DBSC mira a rivoluzionare il settore del furto di cookie rendendo il furto di cookie non più utile”. Questa è stata l’affermazione di Kristian Monsen, un ingegnere del team anti-abuso di Google Chrome. “Riteniamo che ciò ridurrà in modo significativo l’efficacia del malware che rubano i cookie.” Gli aggressori saranno costretti ad agire localmente, il che renderà più efficace il rilevamento e la neutralizzazione del malware sul dispositivo sia nel caso di software antivirus che nel caso di dispositivi aziendali.

Sebbene DBSC sia ancora in fase di prototipo, Google afferma che la funzionalità può già essere testata. Per fare ciò, devi andare su chrome://flags/ e impostare il flag abilita-bound-session-credentials.

DBSC consente al server di avviare una nuova sessione con il browser dell’utente. Inoltre consente di associarlo ad una chiave pubblica memorizzata sul dispositivo utilizzando un’API speciale. Ogni sessione ha una chiave univoca e il server riceve solo la chiave pubblica, che viene successivamente utilizzata per la verifica. Si sostiene che DBSC non consenta ai siti di tenere traccia di diverse sessioni utente sullo stesso dispositivo e che le chiavi create possano essere eliminate in qualsiasi momento.

Si prevede che nella fase iniziale la nuova funzionalità sarà supportata da circa la metà di tutti i desktop con Chrome a bordo. E quando DBSC sarà completamente distribuito, la protezione funzionerà automaticamente per gli utenti ordinari e aziendali.

“Stiamo già lavorando per portare questa tecnologia ai nostri clienti Google Workspace e Google Cloud per offrire loro un ulteriore livello di sicurezza dell’account”, aggiunge Monsen.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.