PayPal ha depositato una richiesta di brevetto in cui descrive un nuovo metodo capace di consentire l’identificazione del furto di un “super-cookie”, così da prevenire quel genere di attacchi in cui gli hacker prendono possesso di un account rubando i cookie contenenti token di autenticazione, senza che sia così necessario dover conoscere credenziali di accesso e scavalcando anche i meccanismi di autenticazione a due fattori.
I super-cookie (chiamati anche zombie cookie o evercookie) sono cookie particolari che possono contenere molte informazioni riguardanti l’utente, e che spesso sono utilizzati per le funzionalità di autenticazione ad un servizio web. La loro particolarità sta nel fatto che vengono archiviati non solo nel browser web, ma anche in posizioni nascoste così da potersi replicare qualora il cookie originario venga eliminato dalla posizione standard di archiviazione del browser allo scopo di facilitare le successive operazioni di accesso/autenticazione ad un servizio.
“Il furto di cookie è una forma sofisticata di attacco informatico, in cui un utente malintenzionato ruba o copia i cookie del computer della vittima al browser web dell’attaccante. Con i cookie rubati che spesso contengono password con hash, l’attaccante può utilizzare un browser web sul suo computer per impersonare l’utente (o il suo dispositivo autenticato) e ottenere l’accesso a informazioni protette associate all’account senza dover effettuare manualmente l’accesso o fornire credenziali di autenticazione” si legge nella documentazione presentata da PayPal.
Nel momento in cui si verifica una richiesta di accesso ad un servizio web il meccanismo di PayPal si occupa di stabilire se la richiesta provenga da un nuovo visitatore o da un utente di ritorno e, in questo secondo caso, se si possa trattare di un tentativo di accesso non autorizzato. Il concetto sviluppato da PayPal è quello di valutare la vulnerabilità della posizione di archiviazione del cookie usato nella richiesta di accesso, assegnandovi un punteggio al fine di determinare una probabilità e un livello di “rischio frode”.
A tal scopo il metodo prevede l’impiego della crittografia sequenziale per “collegare” tra di loro i valori delle diverse posizioni di archiviazione associate a richieste di accesso successive: se in una di queste richieste il valore risultante è al di sotto di un valore atteso, il sistema non concederà l’accesso e, anzi, innescherà ulteriori misure di sicurezza nel caso in cui la posizione di archiviazione del cookie usato per la richiesta venga ritenuta eccessivamente vulnerabile.
Com’è normale per tutte le richieste di brevetto, non vi è alcuna garanzia che il metodo ideato da PayPal possa trovare un’effettiva concretizzazione nei servizi offerti all’utente. Il documento, però, va interpretato in un altro modo, ovvero come dimostrazione che la pratica del furto dei cookie di autenticazione rappresenta un problema tale da richiedere nuovi meccanismi di protezione.