Chrome includerà funzionalità per impedire di usare cookie rubati

Google ha annunciato una nuova funzionalità di sicurezza di Chrome chiamata “Device Bound Session Credentials”. Quest’ultima lega i cookie a un dispositivo specifico, impedendo agli hacker di rubarli e utilizzarli per dirottare gli account degli utenti. I cookie sono file che i siti web utilizzano per ricordare le informazioni e le preferenze di navigazione. Inoltre, consentono agli utenti di accedere automaticamente a un servizio o sito web. I cookie vengono creati dopo l'accesso a un servizio e la verifica delle autenticazioni a più fattori, consentendo loro di ignorare l'autenticazione a più fattori (MFA) negli accessi futuri. Sfortunatamente, gli aggressori utilizzano malware per rubare questi cookie, eludendo così le richieste dell’MFA di dirottare gli account collegati. Per risolvere questo problema, Google sta lavorando alla funzionalità chiamata Device Bound Session Credentials (DBSC) che rende impossibile agli aggressori rubare i cookie legando crittograficamente i cookie di autenticazione al tuo dispositivo.

Chrome: come funziona Device Bound Session Credentials

Dopo aver abilitato DBSC, il processo di autenticazione si collega a una nuova coppia di chiavi pubblica/privata specifica, generata utilizzando il chip TPM (Trusted Platform Module) del dispositivo. Questo viene archiviato in modo sicuro. Quindi, anche se un utente malintenzionato volesse rubare i cookie, non sarebbe in grado di accedere all’account. Come affermato da Kristian Monsen, ingegnere informatico del team Chrome Counter Abuse di Google: “Legando sessioni di autenticazione al dispositivo, DBSC mira a sconvolgere il settore del furto di cookie poiché l'esfiltrazione di questi cookie non avrà più alcun valore, riducendo il tasso di successo del malware che ruba cookie. Gli aggressori sarebbero costretti ad agire localmente sul dispositivo. Ciò renderebbe il rilevamento e la pulizia del dispositivo più efficaci, sia per l’antivirus sia per i dispositivi gestiti dall'azienda”. Per testare DBSC basterà recarsi su chrome://flags/ e abilitare il flag dedicato “enable-bound-session-credentials”.

DBSC consente a un server di avviare una sessione con il browser e associarla a una chiave pubblica memorizzata sul dispositivo utilizzando un'API dedicata. Ogni sessione è supportata da una chiave univoca per proteggere la privacy dell’utente. Il server riceve solo la chiave pubblica utilizzata per verificarne successivamente il possesso. DBSC non consente ai siti di tracciare gli utenti in sessioni diverse sullo stesso dispositivo ed è possibile eliminare le chiavi create in qualsiasi momento. Questa funzionalità di sicurezza dovrebbe essere inizialmente supportata da circa la metà dei dispositivi desktop Chrome. Inoltre, sarà completamente allineata con l'eliminazione graduale dei cookie di terze parti in Chrome.

Negli ultimi mesi, gli hacker hanno abusato dell'endpoint API "MultiLogin" di Google OAuth non documentato. Ciò per generare nuovi cookie di autenticazione dopo che quelli precedentemente rubati erano scaduti. Questa funzionalità impedirà loro di abusare di questi cookie rubati, poiché non avranno accesso alle chiavi crittografiche necessarie per utilizzarli.