Google introduce una nuova protezione pensata per bloccare uno dei metodi più usati negli ultimi anni per rubare account, anche quando password e codici di sicurezza non sono stati violati.
Il problema riguarda i cookie di sessione, piccoli file che permettono di restare collegati a un sito senza dover inserire ogni volta le credenziali. Proprio questi dati, però, sono diventati negli ultimi tempi uno dei bersagli principali dei malware più diffusi, capaci di copiarli e usarli per accedere agli account senza bisogno di password.
È una tecnica particolarmente insidiosa perché aggira anche sistemi di protezione come l’autenticazione a due fattori. Una volta rubata la sessione, l’accesso risulta già autorizzato e il sistema non chiede ulteriori verifiche. Per questo motivo il furto di cookie è diventato uno degli strumenti più utilizzati negli attacchi informatici recenti.
Come funziona la nuova protezione di Google
La risposta arriva con una tecnologia chiamata Device Bound Session Credentials, già introdotta nelle versioni più recenti di Chrome. L’idea è semplice ma molto efficace: legare ogni sessione non solo all’utente, ma anche al dispositivo da cui è stata creata.
In pratica, quando ci si collega a un servizio, il browser associa la sessione a una chiave crittografica generata direttamente dal computer. Questa chiave è custodita in componenti hardware sicuri, come il TPM su Windows o il Secure Enclave su macOS, e non può essere esportata.
Il risultato è che un eventuale cookie rubato non può essere riutilizzato su un altro dispositivo. Anche se finisce nelle mani di un attaccante, diventa inutile perché manca il collegamento con la macchina originale.
Perché questa novità cambia davvero la sicurezza
Fino a oggi, il furto di cookie rappresentava una scorciatoia molto efficace per aggirare le protezioni. Non serviva conoscere la password né intercettare codici temporanei: bastava ottenere quei dati già validati per entrare direttamente negli account.
Con questo nuovo sistema, invece, la sessione perde valore fuori dal contesto originale. È un cambiamento importante perché sposta la sicurezza dal solo software a una combinazione tra browser e hardware, rendendo molto più difficile sfruttare le informazioni rubate.
Va detto che nessuna soluzione elimina completamente il rischio. Se un malware riesce a infiltrarsi in un dispositivo, può comunque accedere ai dati locali. Ma il punto è che non potrà più riutilizzarli facilmente altrove, riducendo in modo significativo l’efficacia di questo tipo di attacco.
Cosa cambia per chi usa Chrome ogni giorno
Per l’utente comune il cambiamento è invisibile. Non c’è nulla da attivare e nessuna nuova impostazione da configurare. La protezione entra in funzione automaticamente nelle versioni aggiornate del browser, partendo da Chrome 146 su Windows, con estensione prevista anche per altri sistemi.
Il segnale, però, è chiaro: il modo in cui si protegge un account sta evolvendo. Non basta più difendere password e codici, ma serve proteggere anche tutto ciò che viene dopo il login. Ed è proprio su questo terreno che si gioca oggi una parte sempre più importante della sicurezza online.
