Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google ha annunciato una nuova funzionalità di sicurezza di Chrome. Si chiama Device Bound Session Credentials e associa i cookie a un dispositivo specifico. Questo dovrebbe impedire agli hacker di rubare i cookie e di utilizzarli per hackerare gli account.
Per risolvere il problema dei cookie che vengono rubati e quindi utilizzati per aggirare l’autenticazione a più fattori, Google ha creato il DBSC. Tale funzionalità lega crittograficamente i cookie di autenticazione a un dispositivo specifico.
Una volta attivato il DBSC, il processo di autenticazione viene associato a una nuova coppia di chiavi pubblica e privata. Tale chiave viene generata utilizzando il chip TPM (Trusted Platform Module) sul dispositivo. Durante la sessione, il server verifica periodicamente la chiave privata per assicurarsi che sia ancora sullo stesso dispositivo. Gli sviluppatori assicurano che tali chiavi non possono essere rubate in quanto vengono archiviate in modo sicuro sul dispositivo. Anche se gli aggressori rubassero i cookie, non sarebbero in grado di accedere agli account della vittima.
“Legando le sessioni di autenticazione a un dispositivo, DBSC mira a rivoluzionare il settore del furto di cookie rendendo il furto di cookie non più utile”. Questa è stata l’affermazione di Kristian Monsen, un ingegnere del team anti-abuso di Google Chrome. “Riteniamo che ciò ridurrà in modo significativo l’efficacia del malware che rubano i cookie.” Gli aggressori saranno costretti ad agire localmente, il che renderà più efficace il rilevamento e la neutralizzazione del malware sul dispositivo sia nel caso di software antivirus che nel caso di dispositivi aziendali.
Sebbene DBSC sia ancora in fase di prototipo, Google afferma che la funzionalità può già essere testata. Per fare ciò, devi andare su chrome://flags/ e impostare il flag abilita-bound-session-credentials.
DBSC consente al server di avviare una nuova sessione con il browser dell’utente. Inoltre consente di associarlo ad una chiave pubblica memorizzata sul dispositivo utilizzando un’API speciale. Ogni sessione ha una chiave univoca e il server riceve solo la chiave pubblica, che viene successivamente utilizzata per la verifica. Si sostiene che DBSC non consenta ai siti di tenere traccia di diverse sessioni utente sullo stesso dispositivo e che le chiavi create possano essere eliminate in qualsiasi momento.
Si prevede che nella fase iniziale la nuova funzionalità sarà supportata da circa la metà di tutti i desktop con Chrome a bordo. E quando DBSC sarà completamente distribuito, la protezione funzionerà automaticamente per gli utenti ordinari e aziendali.
“Stiamo già lavorando per portare questa tecnologia ai nostri clienti Google Workspace e Google Cloud per offrire loro un ulteriore livello di sicurezza dell’account”, aggiunge Monsen.
