Google розпочала широке впровадження нової функції безпеки Chrome, яка прив’язує сеанси входу до апаратного забезпечення пристрою — зміна, що має значення для всіх, хто зберігає криптогаманці.
Key Points:
- Google released Device Bound Session Credentials, which lock browser session cookies to a computer's security chip.
- The protection blocks a common attack that lets thieves bypass two-factor (2FA) logins by stealing cookies.
- Crypto users face added risk, since infostealer malware routinely targets wallets and exchange sessions.
Як Chrome тепер захищає куки для входу
Звіти цього тижня detailed про широке розгортання Device Bound Session Credentials, відомих як DBSC, після місяців тестування у браузерах на базі Chromium.
Інструмент тепер доступний більшості користувачів — від облікових записів Workspace та Enterprise до персональних. Він прив’язує кожен вхід до криптографічного ключа, який ніколи не залишає пристрій.
Сесійний cookie працює як браслет на платному заході: він дозволяє сайту запам’ятати вхід без запиту пароля чи двофакторного коду під час кожного відвідування.
Зловмисники дуже цінують ці файли, адже викрадений cookie може повністю bypass другий фактор, і такі токени часто продаються на майданчиках даркнету. DBSC зберігає ключ у модулі довіреної платформи Windows (TPM) або в Mac Secure Enclave та змушує браузер доводити володіння ним перед кожним оновленням cookie.
У результаті отримуємо cookie, який стає марним на іншому комп’ютері.
Also Read: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Чому це важливо для криптотрейдерів
Для користувачів криптовалют викрадена сесія може означати спорожнілі гаманці, а не просто зламану електронну пошту. Інфостілер‑шкідники тепер масово збирають куки браузера, збережені паролі та файли гаманців за один прохід, після чого надсилають їх на віддалений сервер.
Один аналіз found показав, що крадіжка облікових даних фігурувала приблизно в третині інцидентів, відстежених минулого року, — це свідчить, наскільки типовою стала така тактика.
Ця «торгівля» також набула промислових масштабів: дослідники flagging інфостілер Storm за моделлю підписки, який орендується менш ніж за $1 000 на місяць і націлюється на гаманці через браузерні розширення та десктопні додатки.
Інші різновиди watch сесії, пов’язані з Binance, Coinbase, MetaMask та Trust Wallet, а потім викрадають cookie, щоб зайти в акаунт без пароля.
Довгий шлях DBSC до користувачів
Вперше Google unveiled DBSC у 2024 році, а згодом перевела його з публічної бети до загального релізу у Chrome 146 і новіших версіях для Windows; версії 148 і вище охоплюють Mac.
Компанія enabled цю функцію за замовчуванням для облікових записів Workspace, де адміністратори не можуть її вимкнути. Для трейдерів, які тримають вкладки бірж та розширення гаманців відкритими цілий день, оновлення тихо закриває один із найпростіших шляхів до їхніх грошей.
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak