谷歌(Google) 已在更大范围内推出一项新的 Chrome 安全功能,将登录会话与设备硬件绑定,这一改动对持有加密钱包的用户尤为重要。
关键要点:
- 谷歌发布 Device Bound Session Credentials(DBSC),将浏览器会话 Cookie 锁定在电脑的安全芯片上。
- 该保护机制可阻止一种常见攻击,即通过窃取 Cookie 绕过双重验证(2FA)登录。
- 加密用户面临的风险更高,因为信息窃取型恶意软件经常集中攻击钱包和交易所会话。
Chrome 现在如何保护登录 Cookie
最新报道中指出,在经过数月在 Chromium 浏览器中的测试后,Device Bound Session Credentials(简称 DBSC)已经开始大范围推向用户。
这一工具如今已覆盖大多数用户,包括 Workspace、企业账号以及个人账号。它会将每次登录绑定到一个永不离开设备的加密密钥上。
会话 Cookie 的作用类似一场需验票活动中的腕带,让网站可以在后续访问中记住你的登录状态,而无需每次都输入密码或双重验证代码。
窃贼非常看重这些文件,因为被盗的 Cookie 可以完全绕过这道第二重防线,而这些令牌在暗网市场上经常被出售。DBSC 会将密钥保存在 Windows 的可信平台模块(TPM)或 Mac 的安全隔区(Secure Enclave)中,然后在每次刷新 Cookie 前强制浏览器证明自己仍然持有该密钥。
结果就是:一旦离开原设备,这个 Cookie 在其他机器上就形同废纸。
延伸阅读: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
加密交易者为何应该关注
对加密用户而言,被劫持的会话可能意味着资金被清空,而不仅仅是邮箱被盗。信息窃取型恶意软件往往会在一次行动中收集浏览器 Cookie、已保存的密码和钱包文件,然后将其发送至远程服务器。
一份分析发现,去年被追踪的入侵事件中,大约三分之一与凭证盗窃有关,这显示这种手法已经极为常见。
这一黑产也日趋“产业化”。研究人员发现一款名为 Storm 的订阅式窃取工具,月费不到 1000 美元,专门通过浏览器扩展和桌面应用瞄准用户的钱包。
其他家族还会监控与 Binance、Coinbase、MetaMask 和 Trust Wallet 相关的会话,然后窃取 Cookie,在无需密码的情况下直接登入账户。
DBSC 通往用户的漫长之路
谷歌在 2024 年首次公布 DBSC,随后将其推进到公开测试阶段,并在 Windows 版 Chrome 146 及之后版本中全面发布,Mac 端则从 148 版及以后提供支持。
公司已在 Workspace 账号中默认启用该功能,管理员无法将其关闭。对于那些整天在浏览器里打开交易所标签页和钱包扩展的交易者而言,这次更新默默堵上了入侵其资金账户的最简单路径之一。
下篇阅读: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak