جوجل بدأت إطلاقًا واسعًا لميزة أمان جديدة في كروم تربط جلسات تسجيل الدخول بعتاد الجهاز، وهو تغيير مهم لكل من يحتفظ بمحافظ عملات مشفرة.
نقاط رئيسية:
- أصدرت جوجل ميزة Device Bound Session Credentials التي تربط ملفات تعريف الارتباط الخاصة بالجلسة بشريحة الأمان في الحاسوب.
- يوفر هذا الحماية من هجوم شائع يسمح للصوص بتجاوز تسجيل الدخول بالمصادقة الثنائية (2FA) عبر سرقة ملفات تعريف الارتباط.
- يواجه مستخدمو العملات المشفرة مخاطر إضافية، لأن برمجيات سرقة المعلومات تستهدف المحافظ وجلسات منصات التداول بشكل روتيني.
كيف يحمي كروم الآن ملفات تعريف الارتباط لتسجيل الدخول
تقارير هذا الأسبوع detailed الإطلاق الواسع لميزة Device Bound Session Credentials، المعروفة اختصارًا بـ DBSC، بعد أشهر من الاختبار عبر متصفحات كروميوم.
هذه الأداة أصبحت متاحة الآن لمعظم المستخدمين، من حسابات Workspace و Enterprise إلى الحسابات الشخصية. فهي تربط كل عملية تسجيل دخول بمفتاح تشفير لا يغادر الجهاز مطلقًا.
تعمل ملفات تعريف الارتباط الخاصة بالجلسة مثل سوار المعصم في فعالية بتذاكر؛ فهي تسمح للموقع بتذكر تسجيل الدخول من دون طلب كلمة مرور أو رمز مصادقة ثنائية في كل زيارة.
يقدّر اللصوص هذه الملفات كثيرًا، لأن ملف تعريف ارتباط مسروق يمكنه bypass تخطي تلك الطبقة الثانية تمامًا، وغالبًا ما تُباع هذه الرموز في أسواق الشبكة المظلمة. يقوم DBSC بتخزين المفتاح داخل وحدة النظام الموثوق به في ويندوز (TPM) أو Secure Enclave في أجهزة ماك، ثم يُجبر المتصفح على إثبات حيازة المفتاح قبل أي تحديث لملف تعريف الارتباط.
النتيجة هي ملف تعريف ارتباط يصبح بلا فائدة على أي جهاز آخر.
Also Read: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
لماذا يجب أن يهتم متداولو العملات المشفرة؟
بالنسبة لمستخدمي العملات المشفرة، يمكن أن تعني الجلسة المختطفة تصفية الأموال بدلًا من مجرد اختراق صندوق البريد. برمجيات سرقة المعلومات تجمع الآن ملفات تعريف الارتباط من المتصفح وكلمات المرور المحفوظة وملفات المحافظ في خطوة واحدة قبل إرسالها إلى خادم بعيد.
أحد التحليلات found أن سرقة بيانات الاعتماد شكّلت نحو ثلث حوادث الاختراق التي تم تتبعها العام الماضي، ما يدل على مدى شيوع هذه الإستراتيجية.
كما أصبح هذا المجال صناعيًا، حيث رصد باحثون أداة اشتراك لسرقة المعلومات تُسمّى Storm تُستأجَر بأقل من 1000 دولار شهريًا وتستهدف المحافظ عبر إضافات المتصفح والتطبيقات المكتبية.
سلالات أخرى watch الجلسات المرتبطة بمنصات Binance و Coinbase ومحافظ MetaMask و Trust Wallet، ثم تسرق ملف تعريف الارتباط للدخول إلى الحساب من دون كلمة مرور.
الطريق الطويل لـ DBSC حتى وصوله للمستخدمين
كشفت جوجل لأول مرة عن DBSC في عام 2024 unveiled قبل أن تنقله إلى إصدار تجريبي عام ثم إطلاق عام في كروم الإصدار 146 وما بعده على ويندوز، مع تغطية الإصدار 148 وما بعده لأجهزة ماك.
قامت الشركة enabled بتفعيل الميزة افتراضيًا لحسابات Workspace، حيث لا يمكن للمسؤولين إيقافها. بالنسبة للمتداولين الذين يتركون تبويبات منصات التداول وإضافات المحافظ مفتوحة طوال اليوم، يغلق هذا التحديث بهدوء أحد أسهل الطرق للوصول إلى أموالهم.
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak