O Google eliminou a vulnerabilidade no Chrome, tornando os cookies roubados ineficazes

O Google adicionou proteção contra roubo de cookies de sessão no Chrome 146

*A nova tecnologia – Device Bound Session Credentials (DBSC) – vincula criptograficamente as sessões ativas dos usuários ao hardware de seus dispositivos.*

O que mudou
Plataforma | Como funciona a proteção | Windows | Usa o módulo Trusted Platform Module (TPM). O chip gera chaves únicas que não podem ser exportadas. Novos cookies de sessão são emitidos apenas após a confirmação do Chrome da posse da chave privada. macOS | A proteção será adicionada em uma das futuras atualizações do navegador via Secure Enclave – análogo ao TPM.

Como funciona
1. Ao criar uma nova sessão, o Chrome gera uma chave pública/privada vinculada ao chip de segurança.
2. O servidor recebe apenas a chave pública e a usa para criptografar o cookie de sessão.
3. Para acessar os dados, o cliente deve provar posse da chave privada – isso só é possível no mesmo dispositivo.
4. Se um invasor roubar o cookie, mas não tiver acesso ao chip, a sessão torna-se imediatamente inválida.

Por que isso importa
* Cookies de sessão são tokens de autenticação que permitem ao usuário entrar em serviços sem digitar a senha novamente.
* Malware (infostealers) como LummaC2 lê esses arquivos e a memória do navegador para roubar dados.
* Métodos de proteção baseados em software nem sempre são eficazes – se o invasor obtiver acesso à máquina, pode obter cookies de qualquer complexidade.

O DBSC minimiza a troca de dados: apenas a chave pública é enviada ao servidor, enquanto o identificador do dispositivo permanece oculto. Cada sessão é protegida por uma chave única, dificultando o rastreamento da atividade do usuário entre sessões diferentes.

Testes e suporte
* O Google testou uma versão inicial do DBSC em conjunto com várias plataformas web (incluindo Okta).
* Foi observado um declínio significativo no roubo de sessões.
* O protocolo foi desenvolvido em colaboração com a Microsoft como um padrão web aberto e recebeu aprovação de especialistas em segurança web.

Como os sites podem aproveitar
1. Adicione pontos de registro e atualização de cookies de sessão que utilizam o DBSC ao seu backend.
2. Isso não afetará o frontend existente – a compatibilidade é mantida.

As especificações estão disponíveis no site da W3C, e um guia detalhado de implementação pode ser encontrado na documentação do Google e nos repositórios do GitHub.

Resumo: A nova funcionalidade do Chrome 146 oferece proteção mais confiável contra roubo de cookies de sessão, vinculando-os ao hardware do usuário. Isso torna os tokens roubados praticamente inúteis quase instantaneamente e aumenta a segurança geral das aplicações web.