Google ha anunciado una nueva función en Chrome llamada «Credenciales de Sesión Ligadas al Dispositivo» (DBSC) para proteger a los usuarios contra el robo de cookies de sesión por malware. La empresa ha estado probando el prototipo con algunos usuarios de Cuentas de Google que utilizan Chrome Beta y espera convertirlo en un estándar web abierto. DBSC se enfoca en asociar las sesiones de autenticación con el dispositivo para evitar el robo de cookies y reducir la tasa de éxito de este tipo de malware. Google espera que esta medida obligue a los atacantes a actuar en el dispositivo local, lo que facilitará su detección y eliminación por parte de los programas antivirus y de los administradores de dispositivos empresariales.
La necesidad de implementar esta medida se debe al incremento en el robo de cookies de sesión por malware. En octubre de 2021, se reportó una campaña de phishing dirigida a creadores de contenido de YouTube que utilizaba el robo de cookies para propagar estafas de criptomonedas. Además, a principios de este año, CloudSEK reportó que varios programas de robo de información podían apoderarse de las sesiones de los usuarios y tener acceso continuo a los servicios de Google incluso después de cambiar la contraseña.
Google ha recomendado previamente a los usuarios activar el modo de navegación segura en Chrome («Enhanced Safe Browsing«) para protegerse contra ataques de phishing y descargas de malware. Ahora, con DBSC, la empresa espera dificultar el abuso de las cookies robadas y el acceso no autorizado a las cuentas a través de un enfoque criptográfico que vincula las sesiones con el dispositivo.
DBSC depende de que los dispositivos de los usuarios tengan una forma segura de firmar desafíos mientras se protege la clave privada contra la exfiltración, lo que requiere que el navegador tenga acceso al TPM. Google ha anunciado que el soporte para DBSC se implementará en la mitad de los usuarios de Chrome inicialmente y se espera que sea coherente con los planes más amplios de la compañía de eliminar las cookies de terceros del navegador a través de la iniciativa Sandbox de Privacidad. La empresa está colaborando con varios proveedores de servidores, proveedores de identidad y fabricantes de navegadores como Microsoft Edge y Okta, quienes han expresado interés por DBSC. Los ensayos de origen para DBSC para todos los sitios web admitidos comenzarán a fines de este año.
Vía The Hacker News
