O Google implementou a proteção Device Bound Session Credentials (DBSC) no Chrome 146 para Windows, projetada para bloquear malware que rouba informações e tenta coletar cookies de sessão.
Os usuários do macOS se beneficiarão desse recurso de segurança em uma futura versão do Chrome, que ainda não foi anunciada.
A nova proteção foi anunciada em 2024 e funciona vinculando criptograficamente a sessão de um usuário ao seu hardware específico, como o chip de segurança de um computador – o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS.
Como as chaves públicas/privadas exclusivas para criptografar e descriptografar dados confidenciais são geradas pelo chip de segurança, elas não podem ser exportadas da máquina.
Isso impede que o invasor utilize dados de sessão roubados, pois a chave privada exclusiva que os protege não pode ser exportada da máquina.
“A emissão de novos cookies de sessão de curta duração depende da comprovação, pelo Chrome, de que este possui a chave privada correspondente”, afirma o Google em um comunicado divulgado hoje.
Sem essa chave, qualquer cookie de sessão extraído expira e se torna inútil para um invasor quase que imediatamente.

Fonte: Google.
Um cookie de sessão funciona como um token de autenticação, geralmente com um tempo de validade mais longo, e é criado no servidor com base no seu nome de usuário e senha.
O servidor utiliza o cookie de sessão para identificação e o envia ao navegador, que o apresenta quando você acessa o serviço online.
Como permitem a autenticação em um servidor sem o fornecimento de credenciais, os agentes maliciosos usam um malware especializado chamado infostealer para coletar cookies de sessão.
O Google afirma que várias famílias de malware de roubo de informações, como o LummaC2, “tornaram-se cada vez mais sofisticadas na coleta dessas credenciais”, permitindo que hackers acessem as contas dos usuários.
“Crucialmente, uma vez que um malware sofisticado obtém acesso a uma máquina, ele pode ler os arquivos locais e a memória onde os navegadores armazenam cookies de autenticação. Como resultado, não há maneira confiável de impedir a exfiltração de cookies usando apenas software em qualquer sistema operacional” – Google
O protocolo DBSC foi projetado para ser privado desde a sua concepção, com cada sessão protegida por uma chave distinta. Isso impede que sites correlacionem a atividade do usuário em várias sessões ou sites no mesmo dispositivo.
Além disso, o protocolo permite uma troca mínima de informações que requer apenas a chave pública por sessão necessária para certificar a comprovação de posse, e não vaza identificadores de dispositivos.
Após um ano de testes com uma versão inicial do DBSC em parceria com diversas plataformas web, incluindo a Okta, o Google observou uma queda significativa nos casos de roubo de sessão.
O Google fez uma parceria com a Microsoft para desenvolver o protocolo DBSC como um padrão web aberto e recebeu contribuições “de muitos profissionais do setor responsáveis pela segurança na web”.
Os sites podem atualizar para sessões mais seguras e vinculadas ao hardware, adicionando endpoints dedicados de registro e atualização aos seus backends, sem sacrificar a compatibilidade com o frontend existente.
Os desenvolvedores web podem consultar o guia do Google para obter detalhes sobre a implementação do DBSC . As especificações estão disponíveis no site do World Wide Web Consortium (W3C), e uma explicação pode ser encontrada no GitHub.
