Google rozpoczęło szerokie wdrażanie nowej funkcji bezpieczeństwa w Chrome, która wiąże sesje logowania ze sprzętem urządzenia — zmiana istotna dla każdego, kto trzyma portfele kryptowalut.
Kluczowe punkty:
- Google udostępniło Device Bound Session Credentials, które przypisują ciasteczka sesyjne przeglądarki do układu bezpieczeństwa komputera.
- Zabezpieczenie blokuje powszechny atak pozwalający złodziejom ominąć logowanie dwuskładnikowe (2FA) poprzez kradzież ciasteczek.
- Użytkownicy krypto są szczególnie narażeni, ponieważ malware typu infostealer rutynowo celuje w portfele i sesje giełd.
Jak Chrome teraz chroni ciasteczka logowania
W doniesieniach z tego tygodnia detailed szerokie wdrożenie Device Bound Session Credentials, znanych jako DBSC, po miesiącach testów w przeglądarkach Chromium.
Narzędzie trafia teraz do większości użytkowników, od kont Workspace i Enterprise po konta osobiste. Wiąże każde logowanie z kluczem kryptograficznym, który nigdy nie opuszcza urządzenia.
Ciasteczko sesyjne działa jak opaska na rękę na biletowanym wydarzeniu, pozwalając stronie pamiętać logowanie bez proszenia o hasło lub kod dwuskładnikowy przy każdej wizycie.
Złodzieje szczególnie cenią te pliki, ponieważ skradzione ciasteczko może bypass całkowicie tę drugą warstwę, a tokeny często są sprzedawane na rynkach darknetu. DBSC przechowuje klucz w Windows Trusted Platform Module lub Mac Secure Enclave, a następnie wymusza na przeglądarce udowodnienie posiadania klucza przed każdym odświeżeniem ciasteczka.
Efektem jest ciasteczko, które staje się bezużyteczne na innym komputerze.
Also Read: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Dlaczego traderzy kryptowalut powinni się tym przejmować
Dla użytkowników krypto przejęta sesja może oznaczać wyczyszczone środki, a nie tylko schakowaną skrzynkę mailową. Malware kradnący informacje obecnie zbiera w jednym podejściu ciasteczka przeglądarki, zapisane hasła i pliki portfeli, po czym wysyła je na zdalny serwer.
Jedna analiza found wykazała, że kradzież danych logowania brała udział w około jednej trzeciej naruszeń odnotowanych w zeszłym roku, co pokazuje, jak rutynowa stała się ta technika.
Handel tymi danymi również się zindustrializował — badacze flagging subskrypcyjnego stealera o nazwie Storm, który kosztuje poniżej 1000 USD miesięcznie i atakuje portfele poprzez rozszerzenia przeglądarki oraz aplikacje desktopowe.
Inne odmiany watch sesje powiązane z Binance, Coinbase, MetaMask i Trust Wallet, po czym przejmują ciasteczko, aby wejść na konto bez hasła.
Długa droga DBSC do użytkowników
Google po raz pierwszy unveiled DBSC w 2024 roku, następnie przeniosło funkcję do publicznej bety i ogólnego wydania w Chrome 146 i nowszych na Windows, a wersja 148 i nowsze objęły Mac.
Firma enabled funkcję domyślnie dla kont Workspace, gdzie administratorzy nie mogą jej wyłączyć. Dla traderów, którzy pozostawiają zakładki giełd i rozszerzenia portfeli otwarte przez cały dzień, aktualizacja po cichu zamyka jedną z najprostszych dróg do ich pieniędzy.
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak