Nel 2025 gli infostealer hanno elaborato 51,7 milioni di pacchetti di credenziali rubate, con una crescita del 72% rispetto all’anno precedente: è il dato che emerge dal Constella 2026 Identity Breach Report. Tra quei pacchetti c’erano milioni di cookie di sessione attivi, in grado di bypassare l’autenticazione a due fattori senza conoscere la password dell’utente. Google ha risposto a questa minaccia con una contromisura strutturale: Device Bound Session Credentials (DBSC), disponibile pubblicamente a partire da Chrome 146 per Windows, annunciato il 9 aprile 2026 dal Google Security Blog. Il paradigma cambia: da rilevazione reattiva del furto a prevenzione proattiva a livello hardware.
- Chrome 146 per Windows attiva DBSC, protezione hardware contro il furto di cookie di sessione.
- DBSC lega ogni sessione a una chiave crittografica custodita nel TPM del dispositivo, non esportabile.
- I cookie rubati dagli infostealer diventano inutilizzabili entro pochi minuti su qualsiasi altro dispositivo.
- Il sistema è private by design: nessun identificatore del dispositivo viene trasmesso ai server.
- La protezione è in arrivo anche su macOS; altri browser (Safari, Firefox) stanno valutando l’adozione.
Indice
- Cosa sono gli infostealer e perché i cookie di sessione sono nel mirino
- Come funziona DBSC in Chrome 146
- Privacy by design: DBSC non è uno strumento di tracciamento
- Limiti di DBSC: cosa non risolve
- Come verificare di avere Chrome 146
- FAQ
Cosa sono gli infostealer e perché i cookie di sessione sono nel mirino
Un infostealer è una categoria di malware progettata per estrarre silenziosamente credenziali, dati bancari e token di autenticazione dal dispositivo infetto e trasmetterli a un server di comando e controllo. A differenza dei ransomware, non blocca i file: opera nell’ombra, raccoglie e sparisce.
Il bersaglio più redditizio degli infostealer moderni non è più la password, ma il cookie di sessione. Quando accedi a un sito, il server genera un cookie che autentica ogni tua richiesta successiva senza obbligarti a reinserire le credenziali. Questo token ha spesso una scadenza molto lunga. Un malware come LummaC2 — tra i più diffusi tra il 2023 e il 2025 secondo Google — può leggere questi cookie direttamente dai file locali del browser o dalla memoria di processo, esportarli e permettere a un attaccante di impersonarti su un altro computer, esattamente come avviene nelle truffe di account hijacking via OTP, senza mai conoscere la tua password e aggirando l’autenticazione a due fattori.
Google stessa ha ammesso che non esiste un modo affidabile per impedire l’esfiltrazione di cookie usando solo software, su qualsiasi sistema operativo. Fino a Chrome 146, l’unica difesa era la rilevazione post-furto tramite euristiche comportamentali — un approccio reattivo che gli attaccanti più sofisticati riuscivano spesso ad eludere.
Come funziona DBSC in Chrome 146
Device Bound Session Credentials (DBSC) è una tecnologia che protegge i cookie di sessione attraverso il collegamento crittografico al dispositivo fisico. Il meccanismo si basa su hardware dedicato alla sicurezza: il Trusted Platform Module (TPM) su Windows e il Secure Enclave su macOS (in arrivo con un prossimo aggiornamento).
Ecco come funziona il flusso operativo:
- Generazione chiavi al login: al momento dell’accesso, Chrome genera una coppia di chiavi crittografiche pubblica/privata. La chiave privata viene custodita nel TPM e non può essere esportata dal dispositivo in nessuna circostanza ordinaria.
- Cookie di breve durata: invece di un cookie di lunga durata, il server emette short-lived cookies con scadenza ravvicinata.
- Proof of possession: ogni volta che un cookie sta per scadere, Chrome deve dimostrare al server il possesso della chiave privata firmando una challenge crittografica. Solo il dispositivo originale può firmarla.
- Cookie rubato = token inutile: se un infostealer riesce comunque a esfiltrare il cookie, questo scade rapidissimamente sull’altro dispositivo, perché l’attaccante non può completare la proof of possession senza la chiave privata vincolata all’hardware.
Questo approccio è radicalmente diverso da quello precedente: non si tenta di bloccare il furto (impossibile via software), ma si rende il referto rubato privo di valore economico. Google ha testato una versione anticipata del protocollo nel corso del 2025 su propri servizi, osservando una riduzione significativa dei furti di sessione nelle sessioni protette da DBSC. L’implementazione lato server richiede l’aggiunta di endpoint dedicati per registrazione e refresh, ma non modifica la logica front-end esistente — la compatibilità con i sistemi attuali è completa. DBSC è uno standard aperto W3C, sviluppato anche con il contributo di Microsoft, e può quindi essere adottato da qualsiasi browser.
Chi si occupa di sicurezza browser e protezione della navigazione troverà in DBSC un complemento fondamentale alle soluzioni di anonimizzazione del traffico già disponibili.
Privacy by design: DBSC non è uno strumento di tracciamento
Una preoccupazione legittima di fronte a qualsiasi sistema di autenticazione hardware-backed è il fingerprinting del dispositivo. DBSC è stato progettato esplicitamente per escluderlo.
- Ogni sessione utilizza una chiave univoca e distinta: i siti non possono correlare l’attività di uno stesso utente tra sessioni diverse o tra siti differenti sullo stesso dispositivo.
- Il protocollo non trasmette al server identificatori del dispositivo, numero seriale, dati hardware o attestation data.
- L’unica informazione condivisa è la chiave pubblica per-sessione, necessaria esclusivamente per verificare la prova di possesso.
In altre parole, DBSC rafforza la sicurezza della sessione senza introdurre nuove superfici di tracciamento cross-site. È un equilibrio difficile da ottenere in architetture di sicurezza hardware, e Google lo ha integrato come requisito fondamentale fin dalla progettazione del protocollo.
Limiti di DBSC: cosa non risolve
DBSC è un passo avanti rilevante, ma non è una soluzione completa al problema degli infostealer. È importante comprendere cosa rimane fuori dal perimetro di protezione:
- Richiede adozione lato server: i siti web devono implementare gli endpoint DBSC per beneficiarne. Fino a quando la maggior parte dei siti non si adeguerà, la protezione sarà parziale.
- Solo Chrome 146+ su Windows: macOS riceverà il supporto in una versione futura; Safari e Firefox stanno valutando l’adozione dello standard W3C, ma non hanno ancora impegni ufficiali.
- Non protegge le password: DBSC difende i token di sessione. Credenziali, dati bancari e altri segreti rubati dagli infostealer rimangono fuori dal suo raggio d’azione.
- Non blocca l’infezione iniziale: il malware deve già essere attivo sul sistema. Come evidenziato dai ricercatori di Gen Digital con VoidStealer (marzo 2026), esistono tecniche di bypass che estraggono chiavi crittografiche direttamente dalla memoria durante la fase di registrazione della sessione.
- Non copre altri browser né dispositivi mobili: il 78% delle aziende colpite da breach nel 2025 aveva credenziali nei log infostealer provenienti da dispositivi fuori dal perimetro aziendale, secondo il Constella 2026 Identity Breach Report.
DBSC cambia il paradigma per Chrome su Windows in modo concreto. Non è la fine degli infostealer, ma rende enormemente meno redditizio uno dei loro vettori di monetizzazione primari. Chi lavora in ambito threat hunting e Blue Team deve iniziare a integrare DBSC nelle proprie policy di sicurezza browser per ambienti enterprise.
Come verificare di avere Chrome 146
DBSC si attiva automaticamente in Chrome 146 su Windows, senza configurazioni manuali lato utente. Per verificare la versione installata: apri Chrome, vai su ⋮ Menu → Guida → Informazioni su Google Chrome. Se il numero di versione è 146 o superiore, la protezione è già attiva per le sessioni sui siti che hanno implementato gli endpoint DBSC.
🎬 Vuoi approfondire questo argomento?
Ho realizzato un video dedicato su YouTube @tuttelevitediunmaker dove analizzo la minaccia degli infostealer e le difese hardware-backed in modo pratico e visivo. Se vuoi supportare questo progetto e accedere a contenuti esclusivi, trovi tutto su Patreon.
👉 YouTube | Patreon
#tuttelevitediunmaker
FAQ — Domande frequenti su Chrome e gli infostealer
Cosa sono gli infostealer e come rubano i cookie di sessione?
Gli infostealer sono malware progettati per estrarre silenziosamente credenziali e token di autenticazione dal dispositivo infetto. Accedono ai file locali del browser o alla memoria di processo per leggere i cookie di sessione, li esportano su server controllati dagli attaccanti e li usano per impersonare la vittima senza conoscerne la password, aggirando anche l’autenticazione a due fattori.
Come fa DBSC a rendere inutili i cookie rubati?
DBSC lega ogni sessione a una chiave crittografica privata custodita nell’hardware del dispositivo (TPM su Windows), non esportabile. I cookie diventano short-lived e la loro validità richiede una prova di possesso di quella chiave. Un cookie esfiltrato su un altro dispositivo non può superare questa prova, quindi scade quasi immediatamente.
DBSC è attivo automaticamente in Chrome 146?
Sì, lato browser non è richiesta alcuna configurazione manuale. DBSC si attiva automaticamente in Chrome 146 su Windows. Perché la protezione sia effettiva, però, il sito web deve aver implementato gli endpoint di registrazione e refresh definiti dal protocollo — l’adozione dipende quindi anche dai singoli servizi online.
DBSC funzionerà anche su macOS e altri browser?
Google ha confermato il supporto macOS per un prossimo aggiornamento di Chrome, dove DBSC utilizzerà il Secure Enclave. Essendo uno standard aperto W3C, sviluppato anche con il contributo di Microsoft, può essere adottato da altri browser. Safari e Firefox stanno valutando l’implementazione, ma al momento non hanno annunciato una data.
DBSC risolve completamente il problema degli infostealer?
No. DBSC neutralizza uno dei vettori di monetizzazione principali degli infostealer — il furto di cookie di sessione su Chrome Windows — ma non blocca il furto di password, dati bancari o altri segreti. Non previene l’infezione iniziale del dispositivo. La protezione copre solo Chrome 146+ su Windows e richiede adozione lato server. Rimane uno strato fondamentale di difesa, non una soluzione esaustiva.
Chrome 146 cambia le regole del gioco, ma non le chiude
DBSC rappresenta uno dei cambiamenti più significativi nella sicurezza dei browser degli ultimi anni: sposta la difesa dal rilevamento post-furto alla prevenzione hardware-backed, rendendo economicamente poco conveniente uno degli attacchi più redditizi dell’ecosistema cybercrime. Non è la fine degli infostealer, ma è la prima risposta strutturale a livello di browser che cambia davvero le probabilità di successo di un attacco. Quanto vale la tua sessione attiva se il cookie rubato scade in pochi secondi su qualsiasi altro dispositivo?
#tuttelevitediunmaker
Professionista IT | Specialista AI & Cybersecurity | Creator YouTube
Lavoro nel settore utility/energia con focus su intelligenza artificiale, cybersecurity e sistemi elettronici. Su questo blog e sul canale YouTube analizzo le minacce reali e le contromisure tecniche, senza filtri e senza paura di andare in profondità. Se vuoi restare aggiornato, seguimi su YouTube @tuttelevitediunmaker e su Patreon.
