Google hat mit der breiten Einführung einer neuen Chrome-Sicherheitsfunktion begonnen, die Anmeldesitzungen an die Hardware eines Geräts bindet – eine Änderung, die für alle wichtig ist, die Krypto-Wallets halten.
Key Points:
- Google released Device Bound Session Credentials, which lock browser session cookies to a computer's security chip.
- The protection blocks a common attack that lets thieves bypass two-factor (2FA) logins by stealing cookies.
- Crypto users face added risk, since infostealer malware routinely targets wallets and exchange sessions.
Wie Chrome Anmelde-Cookies jetzt schützt
Reports this week detailed die breite Einführung von Device Bound Session Credentials, bekannt als DBSC, nach monatelangen Tests in Chromium-Browsern.
Das Tool erreicht nun die meisten Nutzer, von Workspace- und Enterprise-Konten bis hin zu privaten Konten. Es verknüpft jede Anmeldung mit einem kryptografischen Schlüssel, der das Gerät niemals verlässt.
Ein Sitzungscookie funktioniert wie ein Armband bei einer Ticketveranstaltung und ermöglicht es einer Website, sich eine Anmeldung zu merken, ohne bei jedem Besuch nach einem Passwort oder einem Zwei-Faktor-Code zu fragen.
Angreifer schätzen diese Dateien, weil ein gestohlenes Cookie diese zweite Schutzschicht vollständig bypass kann und die Token häufig auf Darknet-Märkten verkauft werden. DBSC speichert den Schlüssel in einem Windows Trusted Platform Module oder einer Mac Secure Enclave und zwingt den Browser dann dazu, den Besitz nachzuweisen, bevor ein Cookie erneuert wird.
Das Ergebnis ist ein Cookie, das auf einem anderen Gerät nutzlos wird.
Also Read: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Warum Krypto-Trader das interessieren sollte
Für Krypto-Nutzer kann eine gekaperte Sitzung eher geleerte Guthaben als ein gehacktes Postfach bedeuten. Informationsstehlende Malware sammelt inzwischen Browser-Cookies, gespeicherte Passwörter und Wallet-Dateien in einem einzigen Durchlauf ein, bevor sie an einen entfernten Server gesendet wird.
One analysis found that credential theft figured in roughly a third of intrusions tracked last year, a sign of how routine the tactic has become.
Der Handel damit ist inzwischen industriell geworden: Forscher flagging einen Abonnement-Stealer namens Storm, der für unter 1.000 US-Dollar im Monat gemietet werden kann und Wallets über Browser-Erweiterungen und Desktop-Apps ins Visier nimmt.
Andere Varianten watch nach Sitzungen, die mit Binance, Coinbase, MetaMask und Trust Wallet verknüpft sind, und stehlen dann das Cookie, um ohne Passwort in ein Konto zu gelangen.
Der lange Weg von DBSC zu den Nutzern
Google hat DBSC erstmals 2024 unveiled, bevor die Funktion über eine öffentliche Beta in den allgemeinen Rollout auf Chrome 146 und höher für Windows überging; Version 148 und höher deckt Mac ab.
Das Unternehmen enabled die Funktion standardmäßig für Workspace-Konten, wobei Administratoren sie nicht deaktivieren können. Für Trader, die Börsen-Tabs und Wallet-Erweiterungen den ganzen Tag geöffnet lassen, schließt das Update leise einen der einfachsten Wege zu ihrem Geld.
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak