Una vulnerabilità presente sul browser di Google, Chrome, ha destato parecchia preoccupazione negli ultimi mesi tra gli esperti di sicurezza informatica. Un malware rubava i cookie del browser consentendo poi agli hacker di accedere indisturbati agli account Google. Gli utenti avevano anche provato a cambiare password, ma il metodo non ha avuto successo. L’autenticazione a due fattori, in questo caso particolare, non forniva più alcuna protezione.
Google, per contrastare questa minaccia, ha creato un nuovo standard per la navigazione che ha come obiettivo quello di rendere i cookie realmente sicuri e privati: il Device Bound Session Credentials o abbreviato DBSC.
Come hanno scoperto il malware in Google Chrome? Come funzionava?
Gli analisti hanno scoperto la presenza della vulnerabilità mesi fa, capendo che il malware poteva sfruttare una falla per estrarre e decrittografare i token di accesso memorizzati nel database locale di Google Chrome. Con questo metodo gli hacker riuscivano a creare “cookie Google stabili e persistenti” che potevano essere utilizzati per accedere agli account, così potenti da entrare anche dopo il cambiamento delle password.
Il protocollo DBSC cerca ora di contrastare il furto di cookie attraverso una coppia di chiavi pubbliche e private memorizzate localmente su ciascun dispositivo. La chiave privata viene conservata utilizzando i TPM o altre metodologie basate sul software rendendo il furto più complicato. Questo sistema di Google consente ad un server di associare ad una sessione di navigazione una chiave pubblica e va a verificare che si sia in possesso effettivamente di essa durante tutto il tempo di navigazione. Ogni sessione è poi supportata da una chiave univoca e il DBSC non permette ai siti di allegare chiavi diverse sul medesimo device.
Google sta testando il protocollo DBSC in Chrome Beta per alcuni account con l’intenzione di renderlo di renderlo accessibile a tutti. L’azienda cercherà di allargare su larga scala il DBSC entro la fine del 2024 dando la possibilità agli utenti di attivare la funzione tramite un flag.
