Google Chrome sta ottenendo una nuova funzionalità

Google Chrome

Google ha annunciato una nuova funzionalità di sicurezza Chrome dispone di una funzionalità chiamata Credenziale di sessione di associazione del dispositivo che associa i cookie a un dispositivo specifico, impedendo agli hacker di rubarli e di utilizzarli per dirottare gli account utente.

I cookie sono piccoli file che i siti Web creano automaticamente per autenticare utenti e account, raccogliere dati analitici e personalizzare la pubblicità online.

I cookie vengono creati dopo l'accesso ai siti Web e la verifica dell'autenticazione a più fattori, consentendo di ignorare l'autenticazione a più fattori (MFA) negli accessi futuri.

Sfortunatamente, gli hacker utilizzano diversi malware per rubare i cookie di autenticazione dal browser di un dispositivo. Il furto di cookie avviene dopo l'accesso, aggirando così l'MFA e tutti gli altri controlli al momento dell'accesso. Ciò consente agli hacker di prendere il controllo degli account collegati.

Un attacco di questo tipo è difficile da mitigare con un software antivirus, poiché i cookie rubati persistono anche dopo che il malware viene rilevato e rimosso. A causa del modo in cui i cookie e i sistemi operativi interagiscono, Google Chrome e altri browser, principalmente sui sistemi operativi desktop, non possono proteggerli da malware che hanno lo stesso accesso di un browser.

Credenziali di sessione connessa al dispositivo (DBSC)

Per risolvere questo problema, Google sta sviluppando una nuova funzionalità chiamata Device Bound Session Credentials (DPSC), che impedisce agli aggressori di rubare i tuoi cookie legando crittograficamente i cookie di autenticazione al tuo dispositivo.

Dopo aver abilitato DBSC, il processo di autenticazione è associato a una nuova coppia di chiavi pubblica/privata specifica generata dal chip Trusted Platform Module (TPM) del dispositivo, che non può essere divulgata e viene archiviata in modo sicuro sul tuo dispositivo, quindi anche se gli aggressori rubano i tuoi cookie, non possono accedere ai tuoi account.

READ  Ingrassare? Alimenti trasformati, pasticceria, cereali dolci...

“Legando le sessioni di autenticazione al dispositivo, DBSC mira a sconvolgere l'industria del furto di cookie, perché questi cookie non hanno più alcun valore”, ha affermato Christian Mansen, un ingegnere informatico del team anti-abuso di Chrome di Google. “Riteniamo che ciò ridurrà in modo significativo il tasso di successo del malware che ruba i cookie. Gli aggressori saranno costretti a operare localmente sul dispositivo, rendendo il rilevamento e la pulizia del dispositivo più efficienti sia con il software antivirus che con i dispositivi gestiti dall'azienda.

Mentre è ancora in versione beta, puoi testare DBSC andando su chrome://flags/ e abilitando “enable-bound-session-credentials”.

“Stiamo lavorando per portare questa tecnologia ai nostri utenti Google Workspace e Google Cloud come ulteriore livello di sicurezza dell'account”, ha affermato Monsen.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *