Google ha hecho Credenciales de sesión vinculadas al dispositivo (DBSC) generalmente arreglado para todos los usuarios de Windows de su navegador web Chrome, meses a posteriori de que comenzara a probar la función de seguridad en interpretación beta abierta.
La disponibilidad pública está actualmente limitada a usuarios de Windows en Chrome 146, y la expansión de macOS está planificada en una próxima interpretación de Chrome.
“Este tesina representa un importante paso delante en nuestros esfuerzos continuos para combatir el robo de sesiones, que sigue siendo una amenaza frecuente en el panorama de seguridad reciente”, dijeron los equipos de Chrome y Seguridad de cuentas de Google en una publicación del jueves.
El robo de sesión implica la filtración ajuste de cookies de sesión del navegador web, ya sea reuniendo las existentes o esperando a que la víctima inicie sesión en una cuenta en un servidor controlado por un atacante.
Normalmente, esto sucede cuando los usuarios descargan inadvertidamente malware para robar información en sus sistemas. Estas familias de malware mangante (de las cuales hay muchas, como Atomic, Lumma y Vidar Stealer) tienen capacidades para compilar una amplia tonalidad de información de los sistemas comprometidos, incluidas las cookies.
Conveniente a que las cookies de sesión suelen tener una vida útil más prolongada, los atacantes pueden aprovecharlas para obtener entrada no competente a las cuentas en sarta de las víctimas sin tener que conocer sus contraseñas. Una vez recolectados, estos tokens se empaquetan y venden a otros actores de amenazas para obtener ganancias financieras. Los ciberdelincuentes que los adquieran pueden realizar sus propios ataques.
DBSC, anunciado por primera vez por Google en abril de 2024, tiene como objetivo contrarrestar este desmán vinculando criptográficamente la sesión de autenticación a un dispositivo específico. Al hacerlo, la idea es hacer que las cookies pierdan su valía incluso si son robadas por malware.
“Lo hace utilizando módulos de seguridad respaldados por hardware, como el Módulo de plataforma segura (TPM) en Windows y Secure Enclave en macOS, para originar un par de claves pública/privada único que no se puede exportar desde la máquina”, explicó Google.
“La transmisión de nuevas cookies de sesión de corta duración depende de que Chrome demuestre la posesión de la secreto privada correspondiente al servidor. Conveniente a que los atacantes no pueden robar esta secreto, cualquier cookie exfiltrada caducará rápidamente y se volverá inútil para esos atacantes”.
En caso de que el dispositivo de un legatario no admita el almacenamiento seguro de claves, DBSC vuelve elegantemente al comportamiento en serie sin interrumpir el flujo de autenticación, dijo Google en su documentación para desarrolladores.
El gigantesco tecnológico dijo que ha observado una reducción significativa en el robo de sesiones desde su propagación, una indicación temprana del éxito de la contramedida. El propagación oficial es solo el manifestación, ya que la compañía planea arrostrar DBSC a una tonalidad más amplia de dispositivos e introducir capacidades avanzadas para integrarse mejor con entornos empresariales.
Google, que trabajó con Microsoft para diseñar el en serie con el objetivo de convertirlo en un en serie web destapado, además enfatizó que la casa DBSC es privada por diseño y que el enfoque de secreto distinta garantiza que los sitios web no puedan usar las credenciales de sesión para correlacionar la actividad de un legatario en diferentes sesiones o sitios en el mismo dispositivo.
“Por otra parte, el protocolo está diseñado para ser sencillo: no filtra identificadores de dispositivos ni datos de certificación al servidor más allá de la secreto pública por sesión requerida para certificar la prueba de posesión”, añadió. “Este intercambio leve de información garantiza que DBSC ayude a proteger las sesiones sin permitir el seguimiento entre sitios ni efectuar como un mecanismo de toma de huellas digitales del dispositivo”.
