Google 已大規模推出一項新的 Chrome 安全功能,把登入工作階段綁定到裝置硬件上,對任何持有加密貨幣錢包的人都十分關鍵。
重點摘要:
- Google 推出「裝置綁定工作階段憑證」(Device Bound Session Credentials,DBSC),把瀏覽器的工作階段 cookie 鎖定在電腦的安全晶片上。
- 這項保護可阻擋常見的攻擊手法——駭客透過竊取 cookie 來繞過兩步驗證(2FA)登入。
- 加密貨幣用戶風險更高,因為 infostealer 惡意程式會經常鎖定錢包和交易所工作階段。
Chrome 現如何保護登入 Cookie
近期報導指出,經過數月在 Chromium 瀏覽器上的測試後,Device Bound Session Credentials(DBSC)已大規模推出。
這項工具現已覆蓋大多數用戶,包括 Workspace、企業帳戶以及個人帳戶。它會為每次登入綁定一把加密金鑰,而該金鑰永遠不會離開裝置。
工作階段 cookie 有點像在售票場地戴上的手帶,讓網站可以記住你的登入狀態,而毋須每次造訪都重新輸入密碼或兩步驗證碼。
竊賊非常重視這些檔案,因為一旦 cookie 被盜取,就可以完全繞過第二層防護,而這類權杖亦經常在暗網市場上被出售。DBSC 會將金鑰儲存在 Windows 的受信任平台模組(TPM)或 Mac 的 Secure Enclave 內,並強制瀏覽器在每次更新 cookie 前先證明它仍然持有該金鑰。
結果就是:這個 cookie 一旦被搬到另一部機器上,便變得一文不值。
延伸閱讀: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
為何加密貨幣交易員應該關心
對加密貨幣用戶而言,一個被劫持的工作階段,可能代表資金被洗劫一空,而不只是電郵信箱被入侵。資訊竊取型惡意程式現時會一次過擷取瀏覽器 cookie、已儲存密碼及錢包檔案,然後傳送到遠端伺服器。
有分析發現,去年被追蹤的入侵事件中,大約三分之一都涉及憑證竊取,顯示此手法已變得十分普遍。
這門生意亦愈趨產業化。研究人員揭示一款名為 Storm 的訂閱型 infostealer,每月租金不足 1,000 美元,透過瀏覽器擴充功能及桌面應用程式鎖定錢包。
其他家族則會監視與 Binance、Coinbase、MetaMask 和 Trust Wallet 相關的工作階段,然後竊取 cookie,在不用密碼的情況下登入帳戶。
DBSC 走到用戶面前的漫長旅程
Google 早在 2024 年便公開 DBSC,隨後經歷公開測試,並在 Windows 版 Chrome 146 及以後版本中全面推出;Mac 則由 148 版起支援。
公司其後在 Workspace 帳戶上預設啟用這項功能,系統管理員亦不能將其關閉。對於整天開着交易所分頁及錢包擴充功能的交易員而言,這次更新悄悄關上了駭客通往他們資金的一條最簡單途徑。
下一篇閱讀: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak