{"id":500,"date":"2026-04-11T01:35:53","date_gmt":"2026-04-11T04:35:53","guid":{"rendered":"https:\/\/tecmania.com.br\/atualizacao-do-chrome-novo-recurso-revolucionario-combate-hackers-e-virus-com-seguranca-avancada\/"},"modified":"2026-04-11T01:35:53","modified_gmt":"2026-04-11T04:35:53","slug":"atualizacao-do-chrome-novo-recurso-revolucionario-combate-hackers-e-virus-com-seguranca-avancada","status":"publish","type":"post","link":"https:\/\/tecmania.com.br\/blog\/atualizacao-do-chrome-novo-recurso-revolucionario-combate-hackers-e-virus-com-seguranca-avancada\/","title":{"rendered":"Atualiza\u00e7\u00e3o do Chrome: Novo Recurso Revolucion\u00e1rio Combate Hackers e V\u00edrus com Seguran\u00e7a Avan\u00e7ada"},"content":{"rendered":"

Novo mecanismo do Google desativa cookies de autentica\u00e7\u00e3o fora do dispositivo onde foram criados, reduzindo o vetor de ataques de infostealer.<\/p>\n

<\/p>\n

\n

O Google introduziu recentemente o Device Bound Session Credentials (DBSC) no Chrome 146 para Windows, um mecanismo que torna os cookies de sess\u00e3o in\u00fateis fora do dispositivo onde foram gerados. A prote\u00e7\u00e3o para macOS deve ser implementada em uma vers\u00e3o futura do navegador.<\/p>\n

De maneira simples, ao fazer login em um site, o servidor gera um cookie de sess\u00e3o. Esse cookie funciona como um token de autentica\u00e7\u00e3o armazenado no navegador, provando ao servidor que voc\u00ea \u00e9 realmente voc\u00ea, sem a necessidade de inserir sua senha constantemente. Normalmente, esses cookies t\u00eam uma validade prolongada, podendo durar dias ou at\u00e9 semanas.<\/p>\n

Um atacante que consiga copiar esse arquivo n\u00e3o precisar\u00e1 da sua senha. Ele pode simplesmente apresentar o cookie ao servidor e obter acesso em seu lugar. Malwares que realizam esse tipo de ataque s\u00e3o conhecidos como infostealers, como \u00e9 o caso do LummaC2, que \u00e9 um dos mais ativos atualmente. Os acessos obtidos geralmente s\u00e3o comercializados em f\u00f3runs do crime ou trocados entre grupos maliciosos.<\/p>\n

No fluxo, o TPM registra a chave criptogr\u00e1fica no login, a chave p\u00fablica \u00e9 armazenada pelo servidor, enquanto novos cookies de curta dura\u00e7\u00e3o s\u00e3o emitidos e renovados com base na posse da chave privada. Imagem: Google.<\/figcaption><\/figure>\n

Por que isso \u00e9 uma quest\u00e3o n\u00e3o resolvida at\u00e9 agora<\/h2>\n

Uma vez que um malware est\u00e1 ativo na m\u00e1quina, ele tem acesso aos mesmos arquivos que o sistema operacional utiliza, incluindo os locais onde o navegador armazena os cookies. N\u00e3o existe uma maneira eficaz de impedir essa leitura apenas com prote\u00e7\u00f5es de software em qualquer sistema operacional.<\/p>\n

\n
Leia Mais<\/div>\n

Vazamento do Claude Code \u00e9 usado para disseminar vers\u00f5es alteradas com v\u00edrus.<\/p><\/div>\n

A abordagem tradicional era reativa: detectar o uso suspeito do cookie ap\u00f3s o roubo e invalidar o acesso. Atacantes persistentes frequentemente conseguiam contornar essa detec\u00e7\u00e3o. O DBSC altera o foco do problema: ao inv\u00e9s de tentar evitar o roubo do cookie, ele torna o cookie roubado in\u00fatil.<\/p>\n

Como o DBSC amarra a sess\u00e3o ao hardware<\/h2>\n

O mecanismo utiliza o chip de seguran\u00e7a embutido no dispositivo, como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS, para gerar um par de chaves criptogr\u00e1ficas. Esses componentes f\u00edsicos s\u00e3o projetados para proteger material criptogr\u00e1fico de maneira que n\u00e3o possa ser exportado, nem mesmo por softwares com permiss\u00f5es elevadas.<\/p>\n

Ap\u00f3s o login, o TPM registra a chave criptogr\u00e1fica e a chave p\u00fablica \u00e9 armazenada pelo endpoint DBSC. Cookies de sess\u00e3o de curta dura\u00e7\u00e3o s\u00e3o emitidos e renovados mediante prova de posse da chave privada, que permanece no chip do dispositivo. Imagem: Google.<\/figcaption><\/figure>\n

A chave privada permanece dentro do chip. Sempre que o Chrome precisa renovar um cookie de sess\u00e3o, ele prova ao servidor que ainda possui acesso a essa chave, assegurando que est\u00e1 no mesmo dispositivo original. Os cookies gerados t\u00eam validade curta e s\u00e3o renovados somente mediante essa prova.<\/p>\n

Se um infostealer roubar um cookie protegido pelo DBSC, ele ter\u00e1 em m\u00e3os um token que expira rapidamente e n\u00e3o pode ser renovado, pois a chave privada necess\u00e1ria permanece no chip do dispositivo da v\u00edtima.<\/p>\n

\n
Leia Mais<\/div>\n

Hackers norte-coreanos atacaram apenas uma pessoa para comprometer Axios e NPM.<\/p><\/div>\n

Cada sess\u00e3o \u00e9 protegida por uma chave \u00fanica, o que impede que o mecanismo seja usado para rastrear o usu\u00e1rio entre diferentes sess\u00f5es ou sites no mesmo dispositivo. O protocolo transmite ao servidor apenas a chave p\u00fablica daquela sess\u00e3o espec\u00edfica, sem dados que possam ser usados para identifica\u00e7\u00e3o ou rastreamento.<\/p>\n

Resultados de um ano de testes positivos<\/h2>\n

O Google testou uma vers\u00e3o preliminar do DBSC ao longo do \u00faltimo ano com parceiros como a Okta, observando uma redu\u00e7\u00e3o significativa nos casos de roubo de sess\u00e3o. O padr\u00e3o foi desenvolvido em colabora\u00e7\u00e3o com a Microsoft e est\u00e1 sendo formalizado pelo W3C como um padr\u00e3o aberto da web.<\/p>\n

\n
<\/div>\n<\/div>\n

Os sites podem integrar o DBSC sem a necessidade de reformular sua arquitetura de autentica\u00e7\u00e3o. A integra\u00e7\u00e3o exige apenas a adi\u00e7\u00e3o de dois endpoints no back-end, um para registro da sess\u00e3o e outro para renova\u00e7\u00e3o dos cookies, sem alterar a parte frontal.<\/p>\n

Acompanhe a TecMania nas redes sociais. Para mais not\u00edcias sobre seguran\u00e7a e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.<\/p>\n

\n
<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Novo mecanismo do Google desativa cookies de autentica\u00e7\u00e3o fora do dispositivo onde foram criados, reduzindo o vetor de ataques de […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-500","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/500","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=500"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/500\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}