Google hat mit der breiten Einführung einer neuen Chrome-Sicherheitsfunktion begonnen, die Anmeldesitzungen an die Hardware eines Geräts bindet – eine Änderung, die für alle relevant ist, die Krypto-Wallets halten.
Key Points:
- Google hat Device Bound Session Credentials veröffentlicht, die Browsersitzungscookies an den Sicherheitschip eines Computers binden.
- Der Schutz blockiert eine gängige Angriffsmethode, mit der Diebe Zwei-Faktor-Logins (2FA) durch Cookie-Diebstahl umgehen.
- Krypto-Nutzer sind besonders gefährdet, da Infostealer-Malware routinemäßig Wallets und Börsensitzungen ins Visier nimmt.
Wie Chrome Anmelde-Cookies jetzt schützt
Berichte dieser Woche detailed die breite Einführung von Device Bound Session Credentials, bekannt als DBSC, nach monatelangen Tests in Chromium-Browsern.
Das Tool erreicht nun die meisten Nutzer – von Workspace- und Enterprise-Konten bis hin zu privaten Accounts. Es bindet jede Anmeldung an einen kryptografischen Schlüssel, der das Gerät niemals verlässt.
Ein Sitzungscookie funktioniert wie ein Armband bei einer Veranstaltung mit Ticket, das es einer Website ermöglicht, sich eine Anmeldung zu merken, ohne bei jedem Besuch nach Passwort oder Zwei-Faktor-Code zu fragen.
Diese Dateien sind bei Dieben begehrt, weil ein gestohlenes Cookie die zweite Sicherheitsebene vollständig bypass kann und die Token häufig auf Darknet-Marktplätzen verkauft werden. DBSC speichert den Schlüssel in einem Windows Trusted Platform Module oder einer Mac Secure Enclave und zwingt den Browser dann dazu, vor jeder Cookie-Aktualisierung den Besitz nachzuweisen.
Das Ergebnis ist ein Cookie, das auf einem anderen Rechner wertlos wird.
Also lesen: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Warum Krypto-Trader das interessieren sollte
Für Krypto-Nutzer kann eine gekaperte Sitzung eher geleerte Guthaben als ein gehacktes Postfach bedeuten. Informationsstehlende Malware sammelt inzwischen in einem einzigen Durchlauf Browser-Cookies, gespeicherte Passwörter und Wallet-Dateien ein und sendet sie an einen entfernten Server.
Eine Analyse found ergab, dass Zugangsdaten-Diebstahl in etwa einem Drittel der im letzten Jahr beobachteten Vorfälle eine Rolle spielte – ein Zeichen dafür, wie alltäglich diese Taktik geworden ist.
Der Handel damit hat zudem industrielle Ausmaße erreicht: Forscher flagging einen Abo-Stealer namens Storm, der für unter 1.000 US-Dollar im Monat gemietet werden kann und Wallets über Browser-Erweiterungen und Desktop-Apps angreift.
Andere Varianten watch gezielt nach Sitzungen, die mit Binance, Coinbase, MetaMask und Trust Wallet verknüpft sind, und stehlen dann das Cookie, um ohne Passwort in ein Konto zu gelangen.
Der lange Weg von DBSC zu den Nutzern
Google hat DBSC erstmals 2024 unveiled, bevor die Funktion durch eine öffentliche Beta in den allgemeinen Rollout für Chrome 146 und höher unter Windows ging; Version 148 und höher deckt macOS ab.
Das Unternehmen hat die Funktion für Workspace-Konten standardmäßig enabled, wobei Administratoren sie nicht deaktivieren können. Für Trader, die den ganzen Tag über Börsen-Tabs und Wallet-Erweiterungen geöffnet lassen, schließt das Update leise einen der einfachsten Wege an ihr Geld.
Als Nächstes lesen: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak