O crescimento de malwares do tipo infostealer, como o LummaC2, mudou completamente o cenário da segurança digital. Em vez de tentar quebrar senhas ou burlar autenticação multifator, esses ataques vão direto ao ponto mais vulnerável: o roubo de cookies no Chrome, que permite sequestrar sessões já autenticadas.
Esse tipo de ataque é especialmente perigoso porque ignora completamente proteções tradicionais. Mesmo com senha forte e MFA ativado, o invasor pode assumir uma conta ativa apenas utilizando cookies roubados.
Agora, o Google Chrome 146 traz uma resposta robusta a esse problema com a introdução do Device Bound Session Credentials (DBSC), uma tecnologia que promete tornar cookies roubados simplesmente inúteis fora do dispositivo original.
O resultado é uma mudança importante na forma como navegadores lidam com sessões, elevando significativamente o nível da segurança do navegador.
O que é o dbsc e como ele protege sua conta
O DBSC (Device Bound Session Credentials) é uma tecnologia que vincula criptograficamente a sessão de um usuário ao dispositivo em que ela foi criada. Em termos simples, isso significa que um cookie de sessão passa a funcionar apenas naquele hardware específico.
Tradicionalmente, cookies são armazenados no navegador e podem ser copiados por malwares. Com o DBSC Chrome, esse modelo muda completamente. Cada sessão passa a depender de uma chave criptográfica única, armazenada de forma segura no dispositivo.
Assim, mesmo que um atacante consiga extrair o cookie, ele não conseguirá utilizá-lo em outro ambiente.
Imagem: Google
O papel do chip de segurança
A base dessa proteção está no uso de chips dedicados à segurança. No Windows, o Chrome utiliza o TPM (Trusted Platform Module), enquanto no macOS a tecnologia se apoia no Secure Enclave da Apple.
Esses componentes são projetados para armazenar chaves privadas de forma isolada e altamente protegida. O ponto mais importante é que essas chaves nunca deixam o hardware.
Na prática, quando você faz login em um site, o navegador cria uma credencial vinculada ao dispositivo. Qualquer tentativa de reutilizar essa sessão em outro computador falha, pois a autenticação depende da chave armazenada localmente.
Isso representa um grande avanço na proteção de sessão Google e na defesa contra ataques modernos.
Por que os cookies roubados perdem o valor
O grande diferencial do DBSC é que ele elimina o principal valor dos cookies roubados. Antes, um cookie era suficiente para acessar uma conta. Agora, ele é apenas uma parte do processo.
Sem a chave privada armazenada no TPM segurança web ou no Secure Enclave, o cookie não pode ser validado. Isso torna o roubo de cookies no Chrome praticamente inútil para invasores.
Mesmo que um malware consiga extrair dados do navegador, ele não terá acesso ao elemento mais crítico da autenticação, que está protegido no hardware.
Parceria com microsoft e o futuro da web
Um ponto importante dessa inovação é que o DBSC não é uma solução proprietária isolada. Ele faz parte de um esforço maior de padronização dentro do W3C, o que indica que essa tecnologia pode ser adotada por outros navegadores e plataformas.
A Microsoft também participa desse movimento, especialmente considerando o uso do TPM em larga escala no Windows. Essa colaboração aumenta as chances de adoção global da tecnologia.
O impacto é significativo, especialmente em plataformas de autenticação corporativa como a Okta, frequentemente alvo de ataques baseados em roubo de sessão. Com o DBSC, esse tipo de ataque tende a cair drasticamente.
Estamos, na prática, vendo o início de uma nova camada de segurança para a web, focada não apenas em identidade, mas também em integridade do dispositivo.
Privacidade do usuário em primeiro lugar
Apesar de envolver identificação de dispositivo, o DBSC foi projetado com privacidade em mente. Um dos pontos centrais é que as credenciais são criadas por sessão e por site.
Isso significa que não há rastreamento entre diferentes serviços. Cada conexão gera uma nova chave, isolada das demais.
Diferente de técnicas invasivas, o DBSC não permite que sites identifiquem ou correlacionem usuários entre plataformas. Ele reforça a segurança sem comprometer a privacidade.
Essa abordagem equilibra dois pilares essenciais da web moderna: proteção e anonimato.
Conclusão e impacto
A chegada do Chrome 146 com suporte ao DBSC marca uma evolução importante na segurança digital. Ao vincular sessões ao hardware, o navegador elimina uma das principais armas usadas por cibercriminosos atualmente.
O roubo de cookies no Chrome, que antes era uma ameaça crítica, perde grande parte de sua eficácia. Isso representa um ganho direto para usuários comuns, administradores de sistemas e empresas.
Mais do que uma atualização técnica, essa mudança redefine como a segurança de sessão deve funcionar daqui para frente.
Manter o navegador atualizado nunca foi tão importante. Se você já teve preocupações com segurança ou quer entender melhor como proteger suas contas, este é o momento ideal para acompanhar essas evoluções e compartilhar sua experiência.