Google начала широкое развертывание новой функции безопасности Chrome, которая связывает сессии входа в систему с аппаратным обеспечением устройства — изменение, важное для всех, кто хранит криптокошельки.
Key Points:
- Google выпустила Device Bound Session Credentials, которые «привязывают» сессионные куки браузера к чипу безопасности компьютера.
- Защита блокирует распространенную атаку, позволяющую злоумышленникам обходить вход с двухфакторной аутентификацией (2FA) через кражу куков.
- Пользователи криптовалют подвержены повышенному риску, поскольку infostealer‑вредонос регулярно охотится за кошельками и сессиями бирж.
Как Chrome теперь защищает куки для входа
На этой неделе в отчетах detailed описан широкомасштабный запуск Device Bound Session Credentials, или DBSC, после месяцев тестирования в браузерах на Chromium.
Инструмент уже доступен большинству пользователей — от Workspace и Enterprise‑аккаунтов до личных. Он связывает каждый вход с криптографическим ключом, который никогда не покидает устройство.
Сессионный куки работает как браслет на платном мероприятии: он позволяет сайту помнить вход без запроса пароля или кода двухфакторной аутентификации при каждом визите.
Злоумышленники особенно ценят такие файлы, потому что украденный куки может полностью bypass второй защитный слой, а такие токены часто продаются на даркнет‑площадках. DBSC сохраняет ключ внутри Windows Trusted Platform Module или Mac Secure Enclave, а затем заставляет браузер доказывать владение ключом перед любым обновлением куки.
В результате куки становится бесполезным на другом компьютере.
Также читайте: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Почему это важно для криптотрейдеров
Для пользователей криптовалют захваченная сессия может означать опустошенные счета, а не просто взломанный почтовый ящик. Вредонос, крадущий информацию, сегодня собирает куки браузера, сохраненные пароли и файлы кошельков одним махом, а затем отправляет их на удаленный сервер.
Один из анализов found показал, что кража учетных данных фигурировала примерно в трети зафиксированных за прошлый год проникновений — показатель того, насколько рутинной стала эта тактика.
Этот «бизнес» тоже стал индустриальным: исследователи flagging подписочный стилер Storm, который сдают в аренду менее чем за 1 000 долларов в месяц и который нацелен на кошельки через расширения браузера и десктопные приложения.
Другие разновидности watch за сессиями, связанными с Binance, Coinbase, MetaMask и Trust Wallet, а затем похищают куки, чтобы войти в аккаунт без пароля.
Долгий путь DBSC к пользователям
Впервые Google unveiled DBSC в 2024 году, затем провела публичную бету и перевела функцию в общий релиз в Chrome 146 и новее для Windows, а версии 148 и новее охватывают Mac.
Компания enabled функцию по умолчанию для учетных записей Workspace, где администраторы не могут ее отключить. Для трейдеров, которые часами держат открытыми вкладки бирж и расширения кошельков, обновление тихо закрывает один из самых простых путей к их деньгам.
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak