Netcrook Logo
👤 NEURALSHIELD
🗓️ 10 Apr 2026   🌍 North America

Ladri di cookie messi alle strette: il nuovo blocco hardware di Chrome manda a vuoto i furti di sessione

L’aggiornamento Chrome 146 di Google per Windows lega le credenziali di sessione web al tuo dispositivo, chiudendo la porta ai ladri di cookie - e cambiando le regole del gioco per i cybercriminali.

Immagina la scena: accedi al tuo conto in banca, controlli la posta e chiudi il portatile, senza sospettare che un malware in agguato nell’ombra possa aver appena messo in tasca le tue chiavi digitali. Per anni, i cybercriminali hanno prosperato grazie al furto dei cookie di sessione, una tattica a basso sforzo e alto rendimento che consente di dirottare gli account senza mai aver bisogno della password. Ma con l’ultima mossa di Chrome 146, i giorni dei furti di cookie “facili” su Windows potrebbero essere contati.

Fatti rapidi

  • Chrome 146 per Windows introduce le Device Bound Session Credentials (DBSC), legando i cookie di sessione all’hardware del dispositivo.
  • I cookie rubati diventano inutili su qualsiasi macchina diversa da quella su cui sono stati creati.
  • DBSC sfrutta il Trusted Platform Module (TPM) su Windows per l’archiviazione crittografica delle chiavi.
  • Google ha sviluppato DBSC con Microsoft e ne ha pubblicato il protocollo come standard web aperto.
  • Nessuna tempistica ancora per il supporto macOS; DBSC è attivo solo su Windows in Chrome 146.

Il barattolo dei cookie si chiude: come DBSC sconvolge l’economia del cybercrimine

I cookie di sessione sono le chiavi passepartout del web - piccoli file che dicono ai siti che hai effettuato l’accesso, così non devi reinserire le credenziali ancora e ancora. Ma quella comodità ha un costo. Infostealer come LummaC2 sono progettati per arraffare questi cookie dalla memoria del browser o dal disco, rivendendoli nei forum underground a chiunque voglia accesso immediato alla tua vita digitale. Le difese tradizionali - firewall software, antivirus e sandbox del browser - hanno faticato a tenere il passo, perché una volta che il malware arriva sulla tua macchina, di solito può leggere tutto ciò che il tuo browser può leggere.

Entrano in scena le Device Bound Session Credentials. Invece di affidarsi solo al software, DBSC aggiunge una barriera hardware: quando avvii una sessione, Chrome genera una coppia unica di chiavi crittografiche usando il Trusted Platform Module (TPM) del tuo dispositivo. La chiave privata non lascia mai il dispositivo. I server rilasciano i cookie di sessione solo quando Chrome può dimostrare di possedere la chiave corrispondente. Se un malware ruba il cookie ma non può sottrarre la chiave, il cookie diventa solo zavorra digitale - inutilizzabile altrove. Questo significa che anche se gli attaccanti compromettono il tuo sistema, non possono riutilizzare la tua sessione su un altro dispositivo, mandando all’aria un’enorme fetta del cybercrimine.

DBSC è anche attento alla privacy. Ogni sessione ottiene la propria chiave, rendendo più difficile per i siti tracciare gli utenti tra sessioni o servizi. Viene condivisa solo la parte pubblica della chiave e non vengono esposti identificatori del dispositivo. Le sperimentazioni di Google durate un anno - including con piattaforme importanti come Okta - hanno mostrato un calo misurabile degli episodi di furto di sessione, suggerendo che il legame con l’hardware chiude davvero la porta alle intrusioni basate sui cookie.

Per ora, DBSC è una questione solo Windows, e solo in Chrome 146. I siti web devono aggiornare i propri backend per supportare il protocollo, ma non sono necessarie modifiche al frontend. Anche se la funzione non è ancora disponibile su macOS, lo standard aperto è pubblicato, il che significa che altri browser e sistemi potrebbero presto seguire l’esempio.

Guardando avanti: una nuova era della sicurezza web?

Legando le sessioni digitali al mondo fisico dei chip hardware, Google e Microsoft stanno ridisegnando le linee del fronte nella lotta contro il dirottamento degli account. Non fermerà tutti gli attacchi - un malware sul tuo dispositivo resta un rischio enorme - ma rende molto meno redditizio uno dei trucchi criminali più lucrativi. Per utenti e difensori, è una vittoria che vale la pena celebrare. Per i cybercriminali, il barattolo dei cookie facile si è appena chiuso di colpo.

WIKICROOK

  • Cookie di sessione: un cookie di sessione è un file temporaneo nel tuo browser che ti mantiene connesso a un sito; se rubato, può permettere ad altri di accedere al tuo account.
  • Trusted Platform Module (TPM): un Trusted Platform Module (TPM) è un chip hardware nei computer moderni che archivia in modo sicuro le chiavi di crittografia ed è richiesto per Windows 11.
  • Device Bound Session Credentials (DBSC): le Device Bound Session Credentials legano i token di sessione all’hardware di un dispositivo, impedendo agli attaccanti di riutilizzare dati di sessione rubati su altri dispositivi.
  • Infostealer: un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - da computer infetti senza che l’utente se ne accorga.
  • Coppia di chiavi pubblica/privata: una coppia di chiavi pubblica/privata è composta da due chiavi crittografiche collegate: una pubblica da condividere, una privata per la decifratura sicura e l’autenticazione.
Chrome 146 Device Bound Session Credentials Cybercrime
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news