Adoção do DBSC derruba roubo de cookies no Chrome
A implementação de um novo mecanismo de segurança no Google Chrome já está mudando o cenário dos ataques que exploram o roubo de cookies. A tecnologia, chamada Device Bound Session Credentials (DBSC), foi apontada pelo Google como responsável por uma queda expressiva na quantidade de cookies de sessão roubados que ainda conseguem ser reutilizados por criminosos.
Em termos simples, o DBSC amarra a sessão de login não apenas à conta do usuário, mas também ao dispositivo físico em que ele está autenticado. Isso impede que um cookie capturado em um computador infectado seja usado, por exemplo, em outro laptop, servidor ou máquina virtual do invasor. Mesmo que o arquivo do cookie seja copiado, ele passa a não ter valor sem o componente de segurança mantido no equipamento original.
Como o DBSC funciona na prática
O DBSC está sendo desenvolvido para se tornar um padrão aberto da web e se baseia em criptografia assimétrica. Ao iniciar uma sessão protegida com essa tecnologia, o navegador gera um par de chaves pública e privada diretamente no dispositivo do usuário. A chave privada é armazenada de forma segura pelo sistema operacional, preferencialmente usando um componente de hardware dedicado, como o Módulo de Plataforma Confiável (TPM).
A partir desse momento, os cookies de sessão utilizados pelo navegador passam a ter vida curta e precisam ser periodicamente renovados. Cada renovação exige que o navegador comprove ao servidor que ele possui a chave privada associada àquela sessão. Essa prova de posse funciona como uma assinatura digital: o servidor envia um desafio e, ao receber a resposta assinada corretamente, confirma que está falando com o mesmo dispositivo onde a sessão foi originalmente criada.
Se um atacante copia o cookie para outro computador, ele não terá acesso à chave privada armazenada no TPM ou no repositório seguro do sistema operacional. Assim, mesmo com o cookie em mãos, ele não consegue renovar a sessão, e o token perde a validade rapidamente.
Proteção contra malware do tipo infostealer
Um dos principais alvos do DBSC são os malwares conhecidos como infostealers. Esse tipo de código malicioso é criado especificamente para coletar credenciais, cookies, dados de navegação, carteiras de criptomoedas e outras informações sensíveis armazenadas no sistema da vítima.
O roubo de cookies de sessão sempre foi um recurso extremamente atraente para criminosos. Como esses cookies indicam que o usuário já concluiu o processo de login, quem os obtém pode assumir a sessão sem precisar saber a senha, nem passar por autenticação de dois fatores. É um atalho direto para a conta, frequentemente sem disparar alertas de login suspeito, porque, do ponto de vista do serviço, a sessão continua sendo a mesma.
Com o DBSC, esse atalho começa a desaparecer. O cookie isolado deixa de ser suficiente para validar o acesso. Sem conseguir reproduzir a prova de posse da chave privada, o criminoso não consegue manter a sessão ativa. Em outras palavras, o DBSC transforma o cookie roubado em um artefato inútil, incapaz de ser explorado em outro dispositivo.
Resultados iniciais e estágio de implementação
Segundo o Google, os primeiros dados de uso indicam uma “diminuição significativa” na quantidade de cookies de sessão roubados que continuam a ser válidos em sessões protegidas pelo DBSC. A empresa já havia disponibilizado uma versão preliminar do protocolo anteriormente, em caráter experimental. Agora, a tecnologia está madura o suficiente para ser usada em larga escala.
O DBSC já se encontra amplamente disponível no Chrome 146 para sistemas Windows. Para usuários corporativos, isso significa que máquinas atualizadas e gerenciadas de forma adequada já podem se beneficiar dessa camada extra de proteção. Uma versão para macOS está em desenvolvimento, o que tende a ampliar ainda mais a base de dispositivos cobertos.
Para plataformas que não contam com recursos de segurança em hardware, o Google avalia o uso de chaves baseadas em software, armazenadas de forma protegida pelo próprio sistema operacional. Embora essa abordagem não ofereça o mesmo nível de resistência contra extração que um TPM físico, ainda assim eleva significativamente a dificuldade das campanhas de roubo de cookies em massa.
Impacto para empresas e equipes de segurança
Para organizações que dependem de aplicativos web, portais internos e ferramentas em nuvem, o sequestro de sessão é uma das formas mais perigosas de comprometimento de conta. Muitas vezes, o atacante obtém acesso diretamente ao ambiente corporativo sem disparar múltiplas falhas de login ou eventos que chamem a atenção.
Com o DBSC, o risco operacional de infostealers focados em roubo de cookies diminui de forma concreta. Mesmo que uma máquina de um colaborador seja comprometida, a capacidade de o invasor mover esses cookies para outra infraestrutura controlada por ele passa a ser severamente limitada.
Isso não elimina a necessidade de outras camadas de proteção, como EDR/antivírus, autenticação multifator, monitoramento de comportamento anômalo e políticas de atualização de software. No entanto, reduz drasticamente a eficácia de um vetor de ataque muito usado em campanhas automatizadas e ataques em grande escala.
O que muda para o usuário comum
Para o usuário final, a principal vantagem do DBSC é invisível: maior segurança sem exigir mudanças no comportamento diário. Não é preciso instalar extensões, nem aprender novos fluxos de autenticação. O processo continua sendo “fazer login e usar o serviço”, só que com proteções adicionais trabalhando nos bastidores.
Na prática, se um malware conseguir roubar cookies da máquina de um usuário doméstico, será bem mais difícil para o criminoso reutilizar essas informações em outro dispositivo. Isso reduz o impacto potencial de compromissos pontuais e ajuda a conter a escalada de ataques de conta para conta, muito comum em serviços de e-mail, redes sociais e plataformas financeiras.
Por outro lado, o DBSC não é uma solução mágica. Ele não impede, por exemplo, que um invasor use a própria máquina infectada da vítima enquanto o malware estiver ativo. Também não substitui a importância de manter o navegador e o sistema atualizados, evitar instalação de softwares desconhecidos e ficar atento a anexos e links suspeitos.
Privacidade: proteção sem rastreamento adicional
Uma preocupação recorrente em novas tecnologias de segurança na web é o risco de criarem mecanismos adicionais de rastreamento do usuário. O Google afirma que o DBSC foi desenhado justamente para evitar esse tipo de abuso.
Cada sessão utiliza uma chave exclusiva, e os sites não conseguem correlacionar automaticamente chaves de sessões diferentes no mesmo dispositivo. Isso dificulta o uso da tecnologia como um identificador persistente para fins de rastreamento. O servidor recebe somente a chave pública associada àquela sessão, sem expor detalhes técnicos relevantes sobre o dispositivo.
Além disso, segundo o Google, o DBSC não revela informações sensíveis de hardware ou software que possam ser usadas para criar uma “impressão digital” (fingerprint) precisa do equipamento. A proposta é oferecer segurança adicional contra infostealers sem ampliar a capacidade de monitorar o comportamento do usuário na web.
Caminho para se tornar padrão da web
Um dos aspectos mais relevantes do DBSC é a ambição de ser adotado como padrão aberto em toda a web, e não apenas como um recurso proprietário de um único navegador. O projeto vem sendo desenvolvido de forma pública, com especificações abertas, para que outros navegadores e provedores de identidade possam participar.
Alguns players já demonstraram interesse em incorporar o DBSC em seus próprios ecossistemas. Provedores de identidade corporativa veem na tecnologia uma forma de fortalecer autenticação baseada em navegador, enquanto outros navegadores, como o Edge, avaliam como integrá-la em seus modelos de segurança.
Se o DBSC for de fato consolidado como um padrão amplamente aceito, a tendência é que o roubo de cookies perca valor comercial em larga escala, reduzindo o incentivo econômico por trás de famílias inteiras de malware voltadas para esse tipo de dado.
Desafios e limitações do modelo
Apesar dos ganhos claros, o DBSC também traz desafios técnicos e operacionais. Nem todos os dispositivos contam com TPM ou módulos equivalentes de segurança de hardware; em ambientes legados, a proteção pode ficar mais dependente de soluções baseadas em software, potencialmente mais vulneráveis a ataques sofisticados.
Outro ponto é a necessidade de compatibilidade com uma enorme variedade de serviços web. Plataformas diferentes possuem modelos distintos de sessão, políticas de expiração e integrações com sistemas de autenticação. Ajustar todas essas peças para se beneficiarem plenamente do DBSC exige tempo, testes e coordenação.
Além disso, ataques que exploram diretamente o navegador ou rodam no próprio ambiente autenticado – por exemplo, scripts maliciosos injetados via vulnerabilidades XSS ou extensões comprometidas – continuam sendo ameaça relevante. O DBSC resolve um pedaço específico do problema: a reutilização de cookies fora do dispositivo original.
Boas práticas complementares para usuários e empresas
Enquanto o DBSC se consolida, tanto usuários quanto organizações podem adotar medidas complementares para maximizar a proteção contra roubo de sessão:
– Manter o sistema operacional, o navegador e todos os softwares atualizados.
– Utilizar autenticação multifator em todos os serviços críticos.
– Adotar soluções de segurança de endpoint capazes de detectar e bloquear infostealers.
– Restringir o uso de extensões de navegador a fontes confiáveis e revisar periodicamente o que está instalado.
– Monitorar acessos suspeitos às contas, como logins de locais ou dispositivos incomuns.
– Em ambientes corporativos, implementar políticas de higiene digital, treinamento de usuários e segmentação de acessos.
Um passo importante na evolução da segurança de sessões
O DBSC representa uma mudança de paradigma na forma como sessões autenticadas são protegidas na web. Em vez de depender apenas de um token armazenado em arquivo, que pode ser copiado, o modelo passa a exigir uma prova criptográfica ligada ao hardware ou ao ambiente do dispositivo.
Essa abordagem torna o roubo de sessão por meio de cookies um ataque muito mais caro e complexo para o criminoso médio, especialmente em campanhas massivas e automatizadas. Embora não acabe com todos os riscos relacionados a contas comprometidas, o DBSC reduz substancialmente a superfície de ataque explorada por infostealers e sequestro de cookies.
À medida que essa tecnologia se espalhar por outros navegadores e serviços, a tendência é vermos um cenário em que apenas roubar arquivos locais já não seja suficiente para assumir identidades digitais. A combinação de chaves vinculadas ao dispositivo, cookies de curta duração e autenticação de múltiplos fatores deve se consolidar como um dos pilares da proteção de sessões na próxima geração da web.