Principais destaques
- Novo sistema do Google Chrome conecta sessões ao dispositivo físico para impedir invasões
- Recurso combate malwares que roubam cookies e sequestram contas online
- Tecnologia já está disponível no Windows e será expandida para outros sistemas
O Google anunciou uma das mudanças mais importantes dos últimos anos na segurança do navegador Chrome.
A partir da versão 146, usuários passam a contar com um novo mecanismo chamado Device Bound Session Credentials, uma solução projetada para neutralizar o roubo de cookies de sessão, uma das técnicas mais exploradas por criminosos digitais atualmente.
Esse tipo de ataque é amplamente utilizado por malwares conhecidos como infostealers, que invadem sistemas, capturam dados sensíveis armazenados no navegador e permitem que invasores assumam contas sem precisar de senha. Com a nova abordagem, o Chrome altera esse cenário ao tornar esses cookies praticamente inúteis fora do dispositivo original.
Como funciona a vinculação ao hardware
A base da nova tecnologia está no uso de componentes de segurança presentes no próprio dispositivo. No caso do Windows, o sistema utiliza o Trusted Platform Module, um chip dedicado à proteção de informações sensíveis.
Esse módulo gera um par de chaves criptográficas exclusivo para cada sessão. A chave privada permanece armazenada no hardware e não pode ser exportada, o que garante que apenas o dispositivo original consiga comprovar sua identidade.
Quando o usuário acessa um serviço online, o servidor passa a exigir essa comprovação para renovar os cookies de sessão. Caso essa validação não aconteça, os cookies expiram rapidamente, impedindo seu uso por terceiros mesmo que tenham sido roubados.
Renovação constante reduz janela de ataque
Outro ponto essencial do sistema é a mudança no comportamento dos cookies. Em vez de sessões longas e persistentes, o Chrome passa a trabalhar com cookies de curta duração que são renovados com frequência.
Essa estratégia reduz drasticamente o tempo disponível para que um invasor utilize dados comprometidos. Mesmo em cenários onde o roubo ocorre, a utilidade dessas informações se torna extremamente limitada.
Além disso, cada sessão é associada a uma chave única. Isso impede que dados sejam reutilizados entre diferentes acessos, fortalecendo ainda mais a proteção contra ataques automatizados.
Segurança reforçada sem comprometer a privacidade
Apesar de envolver o uso de hardware, o recurso foi desenvolvido com forte preocupação em preservar a privacidade do usuário. O sistema não transmite identificadores do dispositivo para os servidores, evitando que a tecnologia seja usada como ferramenta de rastreamento.
Cada sessão é tratada de forma isolada, o que impede a correlação entre diferentes atividades online. Na prática, o usuário ganha mais segurança sem abrir mão do controle sobre seus dados.
Esse equilíbrio entre proteção e privacidade é visto como um dos grandes avanços da iniciativa, especialmente em um cenário onde a confiança digital se tornou essencial.
Resultados práticos já indicam impacto positivo
Antes do lançamento global, o Google testou o recurso em ambientes reais, incluindo seus próprios serviços e parcerias com empresas como a Okta. Os resultados apontaram uma queda significativa nos casos de roubo de sessão nas contas protegidas pela tecnologia.
Esses testes ajudaram a validar a eficácia do modelo e demonstraram que é possível combater uma ameaça antiga sem prejudicar a experiência do usuário.
A expectativa é que, com a adoção mais ampla, esse tipo de ataque se torne cada vez menos viável para criminosos.
Um novo padrão aberto para a web
Outro aspecto relevante é que a tecnologia foi desenvolvida como um padrão aberto. A especificação foi publicada junto ao World Wide Web Consortium, permitindo que outras empresas e navegadores adotem a mesma abordagem.
Isso aumenta as chances de padronização da segurança na web, criando um ecossistema mais protegido de forma coletiva. Sites interessados podem implementar o recurso com ajustes no backend, sem necessidade de mudanças visuais ou estruturais no frontend.
Esse detalhe facilita a adoção e acelera a disseminação da tecnologia.
O que vem a seguir
O recurso já está disponível para usuários do Windows, mas o Google confirmou que trabalha na expansão para outros sistemas. No macOS, por exemplo, a tecnologia deve utilizar o Secure Enclave da Apple para oferecer um nível semelhante de proteção.
Embora ainda não haja uma data oficial para essa expansão, a expectativa é que ela ocorra em breve, ampliando o alcance da solução.
Com essa atualização, o Chrome dá um passo importante rumo a uma navegação mais segura, reduzindo drasticamente um dos vetores de ataque mais explorados da internet atual.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
