Google начала широкое внедрение новой функции безопасности Chrome, которая привязывает сессии входа к оборудованию устройства — это важно для всех, кто хранит криптокошельки.
Основные моменты:
- Google выпустила Device Bound Session Credentials, которые «привязывают» сессионные cookie браузера к чипу безопасности компьютера.
- Эта защита блокирует распространённую атаку, при которой воры обходят двухфакторную аутентификацию (2FA), похищая cookie.
- Пользователи криптовалют подвержены повышенному риску, так как infostealer‑вредоносное ПО регулярно нацелено на кошельки и сессии бирж.
Как Chrome теперь защищает cookie для входа
Reports this week detailed широкое развёртывание Device Bound Session Credentials (DBSC) после месяцев тестирования в браузерах на Chromium.
Этот инструмент теперь доступен большинству пользователей — от аккаунтов Workspace и Enterprise до личных. Он привязывает каждый вход к криптографическому ключу, который никогда не покидает устройство.
Сессионная cookie работает как браслет на платном мероприятии: она позволяет сайту «помнить» вход в систему, не запрашивая пароль или двухфакторный код при каждом посещении.
Злоумышленники особенно ценят эти файлы, потому что украденная cookie может обойти второй защитный слой полностью, а такие токены часто продают на теневых рынках. DBSC хранит ключ в модуле доверенной платформы Windows (TPM) или в Mac Secure Enclave и требует от браузера доказательства владения им перед каждым обновлением cookie.
В результате такая cookie становится бесполезной на другом устройстве.
Также читайте: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Почему это важно для криптотрейдеров
Для пользователей криптовалют перехваченная сессия может означать не просто взлом почты, а прямую утечку средств. Инфостилер‑вредоносы сегодня собирают cookie браузера, сохранённые пароли и файлы кошельков за один проход, а затем отправляют их на удалённый сервер.
One analysis found что кража учётных данных фигурировала примерно в трети зафиксированных за прошлый год вторжений, что показывает, насколько рутинной стала эта тактика.
Этот «бизнес» тоже стал промышленным: исследователи flagging подписочный стилер Storm, который сдают в аренду менее чем за $1000 в месяц и который нацелен на кошельки через браузерные расширения и десктопные приложения.
Other strains watch за сессиями, связанными с Binance, Coinbase, MetaMask и Trust Wallet, затем перехватывают cookie, чтобы войти в аккаунт без пароля.
Долгий путь DBSC до пользователей
Google впервые unveiled DBSC в 2024 году, затем перевела технологию в публичную бету и далее в общий релиз в Chrome 146 и новее для Windows; версии 148 и новее охватывают Mac.
Компания enabled эту функцию по умолчанию для аккаунтов Workspace, и администраторы не могут её отключить. Для трейдеров, которые держат вкладки бирж и расширения кошельков открытыми весь день, обновление незаметно закрывает один из самых простых путей к их деньгам.
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak