Google Chrome Beta Prueba Nueva Protección DBSC contra Ataques de Robo de Cookies

Google anunció el martes que está llevando a cabo pruebas piloto de una nueva función en Chrome llamada Credenciales de Sesión Ligadas al Dispositivo (DBSC por sus siglas en inglés) para ayudar a proteger a los usuarios contra el robo de cookies de sesión por parte de malware.

El prototipo, actualmente en prueba con «algunos» usuarios de Cuentas de Google que ejecutan Chrome Beta, tiene como objetivo convertirse en un estándar web abierto, según el equipo de Chromium de la gigante tecnológica.

«Al vincular las sesiones de autenticación al dispositivo, DBSC busca interrumpir la industria del robo de cookies, ya que exfiltrar estas cookies ya no tendrá ningún valor», señaló la compañía.

«Creemos que esto reducirá sustancialmente la tasa de éxito del malware de robo de cookies. Los atacantes se verían obligados a actuar localmente en el dispositivo, lo que facilita la detección y limpieza tanto para el software antivirus como para los dispositivos gestionados por empresas».

Este desarrollo se produce tras informes que indican que el malware de robo de información de estantería está encontrando formas de robar cookies de manera que los actores de amenazas puedan eludir la protección de autenticación multifactor (MFA) y obtener acceso no autorizado a cuentas en línea.

Tales técnicas de secuestro de sesión no son nuevas. En octubre de 2021, el Grupo de Análisis de Amenazas (TAG) de Google detalló una campaña de phishing que apuntaba a creadores de contenido de YouTube con malware de robo de cookies para secuestrar sus cuentas y monetizar el acceso para perpetrar estafas de criptomonedas.

A principios de este enero, CloudSEK reveló que los ladrones de información como Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake habían actualizado sus capacidades para secuestrar sesiones de usuario y permitir acceso continuo a los servicios de Google incluso después de restablecer la contraseña.

Google dijo a The Hacker News en ese momento que «los ataques que involucran malware que roba cookies y tokens no son nuevos; actualizamos rutinariamente nuestras defensas contra tales técnicas y para asegurar a los usuarios que caen víctimas de malware».

Recomendó además a los usuarios habilitar Navegación Segura Mejorada en el navegador web Chrome para protegerse contra descargas de phishing y malware.

DBSC busca reducir tales esfuerzos maliciosos al introducir un enfoque criptográfico que vincula las sesiones al dispositivo, de manera que sea más difícil para los adversarios abusar de las cookies robadas y secuestrar las cuentas.

Ofrecida a través de una API, la nueva función logra esto al permitir que un servidor asocie una sesión con una clave pública creada por el navegador como parte de un par de claves público/privado cuando se lanza una nueva sesión.

Vale la pena señalar que el par de claves se almacena localmente en el dispositivo utilizando Módulos de Plataforma de Confianza (TPMs). Además, la API de DBSCI permite que el servidor verifique la prueba de posesión de la clave privada a lo largo de la vida útil de la sesión para garantizar que la sesión esté activa en el mismo dispositivo.

«DBSC ofrece una API para que los sitios web controlen la duración de dichas claves, detrás de la abstracción de una sesión, y un protocolo para demostrar periódica y automáticamente la posesión de esas claves a los servidores del sitio web», dijeron Kristian Monsen y Arnar Birgisson de Google.

«Existe una clave separada para cada sesión, y no debería ser posible detectar que dos claves de sesión diferentes son de un mismo dispositivo. Al vincular la clave privada al dispositivo y con intervalos apropiados de las pruebas, el navegador puede limitar la capacidad del malware para transferir su abuso del dispositivo del usuario, aumentando significativamente la posibilidad de que el navegador o el servidor detecten y mitiguen el robo de cookies».

Un punto crucial a tener en cuenta es que DBSC depende de que los dispositivos de los usuarios tengan una forma segura de firmar desafíos mientras protegen las claves privadas de la exfiltración por parte del malware, lo que requiere que el navegador web tenga acceso al TPM.

Google dijo que el soporte para DBSC se implementará inicialmente para aproximadamente la mitad de los usuarios de escritorio de Chrome según las capacidades de hardware de sus máquinas. Se espera que el proyecto más reciente esté sincronizado con los planes más amplios de la compañía para eliminar gradualmente las cookies de terceros en el navegador para fines de año a través de la iniciativa Privacy Sandbox.

«Esto es para asegurarse de que DBSC no se convierta en un nuevo vector de seguimiento una vez que se eliminen las cookies de terceros, al tiempo que garantiza que dichas cookies estén completamente protegidas en el ínterin», dijo. «Si el usuario opta completamente por no recibir cookies, cookies de terceros o cookies para un sitio específico, esto también desactivará DBSC en esos escenarios».

La compañía también señaló que está colaborando con varios proveedores de servidores, proveedores de identidad (IdPs) y fabricantes de navegadores como Microsoft Edge y Okta, quienes han expresado interés en DBSC. Los ensayos de origen para DBSC para todos los sitios.