Un nuovo tipo di malware ruba i cookie per accedere ai nostri account: la risposta di Chrome

Nei mesi scorsi è apparsa una nuova vulnerabilità che consentirebbe a un malware di "rubare" i cookie di Chrome per accedere agli account di Google anche dopo che le password sono state cambiate (conoscete la differenza tra antimalware e antivirus?).

Ora Google è passata al contrattacco e ha proposto un nuovo standard per il web chiamato Device Bound Session Credentials (DBSC) inteso a contrastarlo: scopriamo tutti i dettagli.

A fine dicembre 2023 diversi esperti di sicurezza hanno scoperto che un malware potrebbe sfruttare una vulnerabilità per estrarre e decrittografare i token di accesso memorizzati nel database locale di Google Chrome.

Questi dati consentono di inviare una richiesta a un'API di Google normalmente utilizzata da Chrome per sincronizzare gli account tra diversi servizi Google. In questo modo vengono creati "cookie Google stabili e persistenti" responsabili dell'autenticazione che può essere utilizzata per accedere all'account. 

Il concetto è che utilizzare una chiave dai file di ripristino consente di ri-autorizzare i cookie, garantendo la loro validità anche dopo una modifica della password.

Ciò che è più preoccupante è come questo processo di "restauro" possa essere fatto più volte se la vittima non si rende mai conto di essere stata compromessa. Ma non solo. Anche dopo la reimpostazione della password di un account Google, questo exploit può essere utilizzato ancora una volta per ottenere l'accesso al vostro account.

E come se non bastasse l'autenticazione a due fattori non fornisce una protezione, in quanto il furto avviene dopo il login. 

Gli esperti hanno scoperto che ci sono già diversi malware che sfruttano questa vulnerabilità, e Google ha dichiarato che per risolvere il problema è sufficiente uscire dal browser in questione o rimuovere l'accesso da remoto dalla pagina dei dispositivi di Google. La GrandeG ha inoltre raccomandato di attivare la Navigazione sicura avanzata per l'account. 

Per combattere questa situazione il gruppo di sviluppo dietro a Chrome ha proposto un nuovo protocollo chiamato Device Bound Session Credentials (DBSC).

Come funziona DBSC

Questo sistema contrasta il furto di cookie "legando le sessioni di autenticazione al dispositivo" con una "coppia di chiavi pubbliche/private localmente sul dispositivo". La chiave privata viene memorizzata sul il sistema operativo (desktop) utilizzando i TPM (Trusted Platform Modules) o approcci basati su software, rendendo così più difficile il furto.

L'API consente a un server di associare una sessione a questa chiave pubblica, come sostituzione o in aggiunta ai cookie esistenti, e verifica la prova di possesso della chiave privata per tutta la durata della sessione.

Per garantire la privacy, "ogni sessione è supportata da una chiave univoca e DBSC non consente ai siti di correlare le chiavi di sessioni diverse sullo stesso dispositivo". Infine Google sta lavorando per assicurarsi che "DBSC non diventi un nuovo vettore di tracciamento una volta eliminati gradualmente i cookie di terze parti".

La GrandeG assicura infatti che "Le uniche informazioni inviate al server sono la chiave pubblica per sessione che il server utilizza per certificare la prova del possesso della chiave".

Quando arriva questo strumento

Google sta già testando il protocollo DBSC in Chrome Beta per alcuni account Google, e l'intenzione è rendere DBSC uno standard web aperto. Google punta a testarlo ampiamente entro la fine del 2024 nascondendo la funzione dietro un flag attivabile da chi vuole usarlo.

Il suo sviluppo è disponibile su GitHub, e Microsoft, Okta e altre aziende hanno espresso il loro interesse.