Google 已開始在更大範圍內推出新的 Chrome 安全功能,將登入工作階段綁定到裝置硬體,這對於持有加密貨幣錢包的任何人都很重要。
Key Points:
- Google 釋出 Device Bound Session Credentials,將瀏覽器的 session cookie 鎖定到電腦的安全晶片。
- 這項防護能阻擋一種常見攻擊手法,該手法透過竊取 cookie 來繞過雙重驗證 (2FA) 登入。
- 加密貨幣使用者的風險更高,因為資訊竊取型惡意程式經常鎖定錢包與交易所的工作階段。
Chrome 現在如何保護登入 Cookie
本週的報導 detailed 了 Device Bound Session Credentials(簡稱 DBSC)在經過數月於 Chromium 瀏覽器測試後的大規模釋出。
這項工具目前已觸及大多數使用者,從 Workspace 與企業帳戶到個人帳戶皆包含在內。它會將每次登入綁定到一把永不離開裝置的加密金鑰。
工作階段 cookie 的運作像是售票場館發的手環,能讓網站記住你的登入狀態,而不必在每次造訪時都再次要求輸入密碼或雙重驗證碼。
竊賊非常看重這些檔案,因為一旦 cookie 被偷,就能完全 bypass 掉第二層驗證,而這類權杖經常在暗網市場上販售。DBSC 會將金鑰儲存在 Windows 的信賴平台模組 (TPM) 或 Mac 的安全隔離區 (Secure Enclave) 中,並在每次 cookie 刷新前強制瀏覽器證明其仍持有該金鑰。
結果就是,這個 cookie 在另一台機器上將變得毫無用處。
Also Read: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
為什麼加密貨幣交易員應該關心
對加密貨幣使用者來說,被劫持的工作階段可能意味著資金被掏空,而不是只是信箱被駭。資訊竊取型惡意程式現在會一次性搜刮瀏覽器 cookie、儲存的密碼與錢包檔案,然後將它們送往遠端伺服器。
有分析 found 顯示,去年追蹤到的入侵事件中,大約三分之一與憑證竊取有關,顯示這種手法已變得相當日常化。
這門生意也日益工業化。研究人員 flagging 出一種名為 Storm 的訂閱制竊取工具,每月租金不到 1,000 美元,透過瀏覽器擴充功能與桌面應用程式鎖定錢包。
其他惡意程式家族會 watch 與 Binance、Coinbase、MetaMask 及 Trust Wallet 綁定的工作階段,接著竊取 cookie,在不需要密碼的情況下進入帳戶。
DBSC 通往使用者的漫長之路
Google 在 2024 年首次 unveiled DBSC,之後將它推進公測階段,並於 Windows 版 Chrome 146 及後續版本中正式推出,Mac 則從 148 版與後續版本開始支援。
該公司已在 Workspace 帳戶中 enabled 預設啟用,且系統管理員無法將其關閉。對於整天在瀏覽器中打開交易所分頁與錢包擴充功能的交易員而言,這次更新默默封堵了一條最容易通往他們資金的路徑。
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak