Fri, 10 Apr 2026
← VoltarO Google lança credenciais de sessão vinculadas ao dispositivo no Chrome para Windows para combater o roubo de sessão.
O Google disponibilizou as credenciais de sessão vinculadas ao dispositivo (DBSC) para todos os usuários do Windows em seu navegador Chrome, meses depois de começar a testar o recurso de segurança em versão beta aberta. A disponibilidade pública está atualmente limitada a usuários do Windows no Chrome 146, com expansão do macOS planejada em uma próxima versão do Chrome. “Este projeto representa um avanço significativo em nossos esforços contínuos para combater o roubo de sessões, que continua sendo uma ameaça predominante no cenário de segurança moderno”, disseram as equipes do Chrome e de segurança de contas do Google em um post de quinta-feira. O roubo de sessão envolve a exfiltração secreta de cookies de sessão do navegador da Web, seja coletando os existentes ou esperando que a vítima faça login em uma conta, em um servidor controlado pelo invasor.
Normalmente, isso acontece quando os usuários baixam inadvertidamente malware que rouba informações em seus sistemas. Essas famílias de malwares ladrões – das quais existem muitas, como Atomic, Lumma e Vidar Stealer – vêm com recursos para coletar uma ampla gama de informações de sistemas comprometidos, incluindo cookies. Como os cookies de sessão geralmente têm vida útil prolongada, os invasores podem aproveitá-los para obter acesso não autorizado às contas online das vítimas sem precisar saber suas senhas. Depois de coletados, esses tokens são embalados e vendidos a outros atores de ameaças para ganho financeiro.
Os cibercriminosos que os adquirem podem prosseguir com seus próprios ataques. O DBSC, anunciado pela primeira vez pelo Google em abril de 2024, visa combater esse abuso vinculando criptograficamente a sessão de autenticação a um dispositivo específico. Ao fazer isso, a ideia é inutilizar os cookies, mesmo que sejam roubados por malware. “Ele faz isso usando módulos de segurança apoiados por hardware, como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS, para gerar um par de chaves pública/privada exclusivo que não pode ser exportado da máquina”, explicou o Google.
“A emissão de novos cookies de sessão de curta duração depende do Chrome comprovar a posse da chave privada correspondente ao servidor. Como os invasores não podem roubar essa chave, quaisquer cookies exfiltrados expiram rapidamente e se tornam inúteis para esses invasores.” Caso o dispositivo de um usuário não suporte armazenamento seguro de chaves, o DBSC volta ao comportamento padrão sem interromper o fluxo de autenticação, disse o Google em sua documentação para desenvolvedores. A gigante da tecnologia disse que observou uma redução significativa no roubo de sessões desde o seu lançamento, uma indicação precoce do sucesso da contramedida. O lançamento oficial é apenas o começo, já que a empresa planeja levar o DBSC para uma gama mais ampla de dispositivos e introduzir recursos avançados para melhor integração com ambientes corporativos.
O Google, que trabalhou com a Microsoft para projetar o padrão com o objetivo de torná-lo um padrão web aberto, também enfatizou que a arquitetura DBSC é privada por design e que a abordagem de chave distinta garante que os sites não possam usar as credenciais de sessão para correlacionar a atividade de um usuário em diferentes sessões ou sites no mesmo dispositivo. “Além disso, o protocolo foi projetado para ser enxuto: ele não vaza identificadores de dispositivos ou dados de atestado para o servidor além da chave pública por sessão necessária para certificar a prova de posse”, acrescentou. “Essa troca mínima de informações garante que o DBSC ajude a proteger as sessões sem permitir o rastreamento entre sites ou atuar como um mecanismo de impressão digital do dispositivo”.