O Google anunciou um novo recurso de segurança do Chrome chamado DBSC (“Device Bound Session Credentials“ou “Credenciais de Sessão Vinculadas ao Dispositivo”) que vincula cookies a um dispositivo específico. Isso impede que hackers roubem e os usem para sequestrar as contas dos usuários.
Esse tipo de ataque chama-se “roubo de sessão”, com o agravante dele ser muito simples de ser implementado e independe de qualquer medida de segurança como uso de senhas complexas ou dupla autenticação.
Ataques de roubo de sessão são comumente utilizados para hackear canais do Instagram, Youtube e outras mídias sociais, além de roubo de dados de servidores de empresas. Foi assim que em 2021 hackers roubaram mais de 750GB de dados da Electronic Arts, sendo que eu detalho como o roubo de sessão funciona na Aula 49 do curso MTW23.
Para resolver esse problema, o Google desenvolveu o DBSC que impossibilita que invasores roubem seus cookies, pois estes são vinculados ao dispositivo através do chip TPM (que também é utilizado pelo BitLocker que eu abordo na Aula 10 do curso W11FP).
Ao ativar o DBSC, o processo de autenticação utiliza chaves de criptografia únicas para cada dispositivo e mesmo que um invasor roube o cookie, ele não poderá acessar suas contas.
A página oficial do DBSC está no GitHub , e você pode habilitar essa funcionalidade durante o período de testes acessando chrome://flags/ e pesquisando por “device bo“.
Ali ative a opção Device Bound Session Credentials.
A segunda opção Device Bound Session Credentials with software keys fornece uma proteção mais limitada se o computador não tiver o chip TPM:
O DBSC não impede o acesso temporário à sessão do navegador enquanto o invasor estiver utilizando o próprio dispositivo do usuário (via acesso remoto, por exemplo).