Google 已在更大範圍推出一項新的 Chrome 安全功能,將登入工作階段綁定到裝置硬件,對任何持有加密錢包的人都相當重要。
重點摘要:
- Google 發佈 Device Bound Session Credentials(裝置綁定工作階段憑證,DBSC),將瀏覽器工作階段 Cookie 鎖定在電腦的安全晶片上。
- 這項保護可阻擋常見攻擊,避免竊賊透過竊取 Cookie 來繞過兩步驗證(2FA)登入。
- 加密貨幣用戶風險更高,因為資訊竊取型惡意程式經常鎖定錢包和交易所工作階段。
Chrome 現時如何保護登入 Cookie
本週報導指出,在 Chromium 瀏覽器經過數月測試後,Device Bound Session Credentials(簡稱 DBSC)已廣泛推出。
這項工具現已覆蓋多數用戶,從 Workspace 和企業帳戶到個人帳戶皆然。它會將每次登入綁定到一把永不離開裝置的密碼金鑰。
工作階段 Cookie 的作用就像付費場館的手帶,讓網站可以記住你的登入狀態,而不用在每次造訪時重新輸入密碼或兩步驗證代碼。
竊賊非常看重這些檔案,因為被盜的 Cookie 可以完全繞過第二層驗證,而且這些權杖經常在暗網市場交易。DBSC 會將金鑰儲存在 Windows 的可信平台模組(TPM)或 Mac 的 Secure Enclave,然後強制瀏覽器在每次刷新 Cookie 前先證明自己擁有該金鑰。
結果就是:在另一台機器上,這個 Cookie 會變得毫無用處。
延伸閱讀: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
為何加密貨幣交易員應該關注
對加密用戶而言,被劫持的工作階段可能意味著資金被掏空,而不只是電子郵箱被入侵。資訊竊取型惡意程式現在會一次性收集瀏覽器 Cookie、已儲存的密碼和錢包檔案,然後傳送到遠端伺服器。
有分析發現,憑證竊取約佔去年所追蹤入侵事件的三分之一,顯示這種手法已變得非常普遍。
這門生意亦日趨工業化。研究人員揭示一款名為 Storm 的訂閱制資訊竊取程式,每月租金不到 1,000 美元,透過瀏覽器擴充功能及桌面應用程式鎖定錢包。
其他變種則會監控與 Binance、Coinbase、MetaMask 和 Trust Wallet 綁定的工作階段,然後竊取 Cookie,在不輸入密碼的情況下直接登入帳戶。
DBSC 走到用戶端的漫長之路
Google 在 2024 年首先公佈 DBSC,之後經過公開測試版,最終於 Windows 版 Chrome 146 及後續版本正式推出,Mac 則由 148 版及以後支援。
公司已在 Workspace 帳戶中預設啟用此功能,而且系統管理員無法將其關閉。對於整天把交易所分頁和錢包擴充功能開著的交易員來說,這次更新悄悄關上了通往其資金的一條最簡單管道。
下一篇閱讀: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak