Google đã bắt đầu triển khai rộng rãi một tính năng bảo mật Chrome mới, liên kết phiên đăng nhập với phần cứng của thiết bị, một thay đổi quan trọng với bất kỳ ai đang nắm giữ ví crypto.
Các điểm chính:
- Google phát hành Device Bound Session Credentials, khóa cookie phiên trình duyệt với chip bảo mật của máy tính.
- Lớp bảo vệ này chặn một dạng tấn công phổ biến cho phép kẻ trộm vượt qua đăng nhập hai lớp (2FA) bằng cách đánh cắp cookie.
- Người dùng crypto chịu rủi ro cao hơn, vì malware đánh cắp thông tin thường xuyên nhắm tới ví và phiên đăng nhập sàn.
Chrome hiện đang bảo vệ cookie đăng nhập như thế nào
Các báo cáo trong tuần này detailed việc phát hành rộng rãi Device Bound Session Credentials, gọi tắt là DBSC, sau nhiều tháng thử nghiệm trên các trình duyệt Chromium.
Công cụ này hiện đã đến được hầu hết người dùng, từ tài khoản Workspace và Enterprise tới tài khoản cá nhân. Nó gắn mỗi lần đăng nhập với một khóa mật mã không bao giờ rời khỏi thiết bị.
Cookie phiên hoạt động giống như vòng tay ở một sự kiện bán vé, cho phép trang web ghi nhớ lần đăng nhập mà không yêu cầu mật khẩu hoặc mã hai lớp mỗi lần truy cập.
Kẻ trộm rất coi trọng các tệp này vì một cookie bị đánh cắp có thể bypass hoàn toàn lớp bảo mật thứ hai, và các token này thường được bán trên chợ đen. DBSC lưu khóa bên trong Windows Trusted Platform Module hoặc Mac Secure Enclave, sau đó buộc trình duyệt chứng minh đang sở hữu khóa trước khi bất kỳ cookie nào được làm mới.
Kết quả là cookie trở nên vô dụng nếu bị dùng trên máy khác.
Cũng nên đọc: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Vì sao trader crypto nên quan tâm
Với người dùng crypto, một phiên bị chiếm quyền có thể đồng nghĩa với việc bị rút sạch tiền chứ không chỉ là hộp thư bị hack. Malware đánh cắp thông tin hiện thu thập cookie trình duyệt, mật khẩu đã lưu và tệp ví chỉ trong một lần quét rồi gửi tới máy chủ từ xa.
Một phân tích found rằng trộm thông tin đăng nhập chiếm khoảng một phần ba số vụ xâm nhập được theo dõi năm ngoái, cho thấy chiến thuật này đã trở nên rất phổ biến.
Hoạt động mua bán cũng đã mang tính công nghiệp hơn, khi các nhà nghiên cứu flagging một công cụ đánh cắp dạng thuê bao tên Storm, giá dưới 1.000 USD/tháng, nhắm tới ví thông qua tiện ích mở rộng trình duyệt và ứng dụng desktop.
Các dòng malware khác watch các phiên gắn với Binance, Coinbase, MetaMask và Trust Wallet, rồi đánh cắp cookie để vào tài khoản mà không cần mật khẩu.
Hành trình dài của DBSC tới tay người dùng
Google lần đầu unveiled DBSC vào năm 2024 trước khi đưa nó qua giai đoạn beta công khai và sau đó phát hành rộng rãi trên Chrome 146 trở lên cho Windows, với phiên bản 148 trở lên cho Mac.
Công ty enabled tính năng này mặc định cho các tài khoản Workspace, nơi quản trị viên không thể tắt nó. Với các trader thường để mở tab sàn giao dịch và tiện ích ví cả ngày, bản cập nhật âm thầm đóng lại một trong những con đường đơn giản nhất dẫn tới tiền của họ.
Đọc tiếp: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak