Google Chrome Adiciona Proteção Contra Roubo de Cookies de Sessão
O Google Chrome está implementando um novo mecanismo de segurança chamado Device Bound Session Credentials (DBSC) para proteger contra o roubo de cookies de sessão por infostealers. A funcionalidade, já disponível no Chrome 146 para Windows, visa mitigar ataques que exploram cookies para acesso não autorizado a contas.
MundiX News·15 de abril de 2026·4 min de leitura·👁 2 views
O Google Chrome está implementando um novo mecanismo de segurança chamado Device Bound Session Credentials (DBSC) para proteger contra o roubo de cookies de sessão por infostealers. A proteção já está disponível no Chrome 146 para Windows e chegará ao macOS em uma versão futura.
O DBSC, anunciado pelo Google em abril de 2024, tem como objetivo vincular criptograficamente a sessão de um usuário ao hardware específico, utilizando o módulo TPM no Windows ou o Secure Enclave no macOS. Um par de chaves único é gerado diretamente no chip de segurança, e a chave privada não pode ser extraída do dispositivo. Sem essa chave, qualquer cookie roubado se torna um conjunto inútil de bytes.
"A emissão de novos cookies de sessão de curta duração ocorre somente se o Chrome puder provar ao servidor a posse da chave privada correspondente", explica o Google. Um cookie de sessão é essencialmente um token de autenticação de longa duração que o servidor cria após a inserção de login e senha. É por isso que esses cookies se tornaram um alvo valioso para operadores de malware: com eles, é possível invadir a conta de outra pessoa sem a senha.
O Google observa que famílias de malware como LummaC2 estão se tornando cada vez mais sofisticadas quando se trata de coletar essas credenciais. "Assim que um malware avançado obtém acesso a uma máquina, ele pode ler arquivos locais e a memória onde os navegadores armazenam os cookies. Nenhum meio de software pode impedir seu roubo em um único sistema operacional", afirma a empresa.
O DBSC foi projetado com foco na privacidade: cada sessão corresponde a seu próprio par de chaves, para que os sites não possam vincular a atividade do usuário entre diferentes sessões ou recursos no mesmo dispositivo. Apenas a chave pública de uma sessão específica é transmitida ao servidor, sem quaisquer identificadores de dispositivo.
Durante os testes da versão inicial do DBSC com a Okta e outros parceiros, o Google observou uma redução significativa no número de incidentes de sequestro de sessão. Para habilitar a proteção, os sites precisam apenas adicionar um par de endpoints ao backend – para registro e atualização da sessão. O frontend não precisa ser redesenhado, todos os aplicativos da web continuarão a funcionar com cookies padrão.
Os especialistas do Google descreveram os detalhes da implementação em um guia separado para desenvolvedores, e as especificações foram publicadas no site da W3C. Os desenvolvedores afirmam que já estão trabalhando no desenvolvimento do DBSC. Os planos incluem suporte para associações cross-origin para proteger a autenticação federada, bem como a capacidade de vincular novas sessões a chaves confiáveis existentes. Além disso, a empresa está considerando trabalhar com chaves de software (para dispositivos que não possuem um chip de segurança separado).
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O Google Chrome está implementando um novo mecanismo de segurança chamado Device Bound Session Credentials (DBSC) para proteger contra o roubo de cookies de sessão por infostealers. A proteção já está disponível no Chrome 146 para Windows e chegará ao macOS em uma versão futura.
O DBSC, anunciado pelo Google em abril de 2024, tem como objetivo vincular criptograficamente a sessão de um usuário ao hardware específico, utilizando o módulo TPM no Windows ou o Secure Enclave no macOS. Um par de chaves único é gerado diretamente no chip de segurança, e a chave privada não pode ser extraída do dispositivo. Sem essa chave, qualquer cookie roubado se torna um conjunto inútil de bytes.
"A emissão de novos cookies de sessão de curta duração ocorre somente se o Chrome puder provar ao servidor a posse da chave privada correspondente", explica o Google. Um cookie de sessão é essencialmente um token de autenticação de longa duração que o servidor cria após a inserção de login e senha. É por isso que esses cookies se tornaram um alvo valioso para operadores de malware: com eles, é possível invadir a conta de outra pessoa sem a senha.
O Google observa que famílias de malware como LummaC2 estão se tornando cada vez mais sofisticadas quando se trata de coletar essas credenciais. "Assim que um malware avançado obtém acesso a uma máquina, ele pode ler arquivos locais e a memória onde os navegadores armazenam os cookies. Nenhum meio de software pode impedir seu roubo em um único sistema operacional", afirma a empresa.
O DBSC foi projetado com foco na privacidade: cada sessão corresponde a seu próprio par de chaves, para que os sites não possam vincular a atividade do usuário entre diferentes sessões ou recursos no mesmo dispositivo. Apenas a chave pública de uma sessão específica é transmitida ao servidor, sem quaisquer identificadores de dispositivo.
Durante os testes da versão inicial do DBSC com a Okta e outros parceiros, o Google observou uma redução significativa no número de incidentes de sequestro de sessão. Para habilitar a proteção, os sites precisam apenas adicionar um par de endpoints ao backend – para registro e atualização da sessão. O frontend não precisa ser redesenhado, todos os aplicativos da web continuarão a funcionar com cookies padrão.
Os especialistas do Google descreveram os detalhes da implementação em um guia separado para desenvolvedores, e as especificações foram publicadas no site da W3C. Os desenvolvedores afirmam que já estão trabalhando no desenvolvimento do DBSC. Os planos incluem suporte para associações cross-origin para proteger a autenticação federada, bem como a capacidade de vincular novas sessões a chaves confiáveis existentes. Além disso, a empresa está considerando trabalhar com chaves de software (para dispositivos que não possuem um chip de segurança separado).
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
