Negli ultimi tempi, si è evidenziata una minaccia emergente che permette ai software malevoli di “intercettare” i cookie di navigazione di Chrome, rendendo vulnerabili gli account Google degli utenti, anche in seguito al cambio delle password. È fondamentale distinguere tra strumenti antimalware e antivirus in questo contesto.
In risposta a tale sfida, Google ha preso l’iniziativa presentando un’iniziativa rivoluzionaria per il web: le Device Bound Session Credentials (DBSC), mirate a neutralizzare questa vulnerabilità. Analizziamo questa novità nel dettaglio.
Il problema dei cookie sottratti
A dicembre 2023, esperti di cybersecurity hanno identificato che specifici malware potrebbero sfruttare una breccia di sicurezza per accedere e decifrare i token di accesso salvati nel database locale di Google Chrome. Questi token abilitano le richieste ad API di Google, che Chrome utilizza per mantenere l’accesso ai vari servizi Google, creando così “cookie Google” duraturi e continui responsabili dell’autenticazione degli account.
Una tecnica preoccupante permette ai cookie di rimanere validi nonostante i cambiamenti delle password, grazie all’uso di chiavi di ripristino che autorizzano nuovamente l’accesso. Questo metodo potrebbe essere ripetuto molteplici volte senza che l’utente si renda conto di essere stato compromesso. Preoccupante è il fatto che, anche dopo aver reimpostato la password di un account Google, l’exploit può essere riutilizzato per accedere nuovamente all’account.
Inoltre, l’autenticazione a due fattori non offre protezione in questo scenario, poiché l’intercettazione avviene post-accesso. Si è scoperto che numerosi malware sfruttano questa vulnerabilità. Google ha suggerito come soluzioni immediate il logout dal browser interessato o la rimozione dell’accesso remoto dalla pagina dei dispositivi Google, raccomandando altresì di attivare la Navigazione sicura avanzata per gli account.
La soluzione DBSC
Per affrontare tale problematica, il team di sviluppo di Chrome ha introdotto un nuovo protocollo denominato Device Bound Session Credentials (DBSC).
Funzionamento delle DBSC
Il principio su cui si basa DBSC è quello di vincolare le sessioni di autenticazione al dispositivo utilizzando una coppia di chiavi pubbliche/private memorizzate localmente. La chiave privata è custodita sul dispositivo tramite moduli hardware di fiducia (TPM) o soluzioni software, complicando notevolmente eventuali tentativi di furto.
L’API del sistema permette al server di collegare una sessione a questa chiave pubblica, agendo come sostituto o complemento dei cookie tradizionali, e autentica la sessione verificando il possesso della chiave privata per la sua durata.
Per preservare la privacy dell’utente, ogni sessione è garantita da una chiave unica, e DBSC impedisce ai siti di collegare chiavi di sessioni differenti sullo stesso dispositivo. Google si impegna a evitare che DBSC diventi uno strumento di tracciamento una volta che i cookie di terze parti saranno progressivamente eliminati, assicurando che l’unico dato trasmesso al server sia la chiave pubblica utilizzata per validare il possesso della chiave.
Disponibilità di DBSC
Google ha già iniziato la fase di test del protocollo DBSC su Chrome Beta per alcuni account Google, con l’obiettivo di farne uno standard web aperto. La volontà è di sperimentare ampiamente DBSC entro la fine del 2024, rendendola accessibile attraverso un’opzione specifica per gli interessati.
Il progresso dello sviluppo può essere seguito su GitHub, e aziende come Microsoft e Okta hanno già manifestato il loro interesse verso questa innovazione.