Ferreira Manuel 
67
A Google iniciou a disponibilização gradual da funcionalidade Credenciais de Sessão Vinculadas ao Dispositivo (DBSC, na sigla em inglês) para todos os utilizadores do navegador Chrome, uma medida destinada a reforçar a segurança das contas e dificultar ataques de roubo de sessões.
Anunciada em 2024 e disponibilizada em versão beta desde Abril deste ano, a tecnologia permite associar criptograficamente os cookies de sessão a um dispositivo específico, impedindo que cibercriminosos utilizem cookies roubados para contornar mecanismos de autenticação multifactor (MFA) e obter acesso indevido a contas de utilizadores.
O sistema funciona através da ligação das sessões de autenticação ao hardware de segurança do equipamento, como o Trusted Platform Module (TPM), no Windows, ou o Secure Enclave, nos dispositivos macOS. Estes componentes geram e armazenam chaves criptográficas exclusivas que não podem ser extraídas ou reutilizadas por terceiros.
Segundo a Google, a nova funcionalidade representa uma mudança de paradigma na protecção das contas online, ao passar de uma abordagem baseada na detecção de ameaças para uma estratégia de prevenção, tornando inútil a utilização de cookies de sessão roubados.
A empresa explica que, mesmo nos casos em que um dispositivo esteja infectado por malware, o DBSC reduz significativamente o risco de roubo de sessões e dificulta a exploração dos dados de autenticação por agentes maliciosos.
A funcionalidade está a ser disponibilizada para clientes do Google Workspace, subscritores do Workspace Individual e utilizadores de contas pessoais da Google. Após a conclusão da implementação, o recurso será activado por defeito para todas as organizações que utilizam o Google Workspace, não sendo possível aos administradores desactivá-lo.
Nos últimos anos, diversos grupos cibercriminosos exploraram técnicas para reutilizar cookies de autenticação roubados. Entre os casos identificados estão campanhas associadas aos programas maliciosos Lumma e Rhadamanthys, especializados no roubo de informação e capazes de restaurar ou reutilizar credenciais de autenticação para obter acesso a contas comprometidas.
Com a introdução do DBSC, a Google acredita que estes ataques se tornarão substancialmente mais difíceis, uma vez que os invasores não terão acesso às chaves criptográficas armazenadas nos dispositivos das vítimas e necessárias para validar as sessões de autenticação.
