Google 已在更大范围内推出一项新的 Chrome 安全功能,将登录会话绑定到设备硬件上,这一变化对持有加密钱包的用户尤为重要。
要点:
- Google 发布了设备绑定会话凭据(Device Bound Session Credentials,DBSC),将浏览器会话 Cookie 锁定到计算机的安全芯片上。
- 该防护可阻止一种常见攻击方式:窃贼通过窃取 Cookie 绕过两步验证(2FA)登录。
- 加密用户面临额外风险,因为信息窃取类恶意软件经常以钱包和交易所会话为目标。
Chrome 现在如何保护登录 Cookie
本周的报道 detailed 了设备绑定会话凭据(DBSC)的广泛发布,此前它在各类 Chromium 浏览器中已测试数月。
这一工具目前已覆盖大多数用户,从 Workspace、企业账户到个人账户。它将每次登录绑定到一个永不离开设备的加密密钥上。
会话 Cookie 的作用类似于在收费场馆获得的腕带,让网站在每次访问时无需再次要求输入密码或两步验证码就能记住你的登录状态。
窃贼非常看重这些文件,因为被盗的 Cookie 可以完全 bypass 掉第二层验证,而且这些令牌经常在暗网市场上出售。DBSC 会将密钥存储在 Windows 的可信平台模块(TPM)或 Mac 的安全隔区(Secure Enclave)中,然后在任何 Cookie 刷新前强制浏览器证明其对密钥的持有。
结果是,一旦 Cookie 被移到另一台机器上就会失效。
延伸阅读: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
加密交易者为何应当关注
对加密用户而言,被劫持的会话意味着资金被掏空,而不仅是邮箱被入侵。信息窃取类恶意软件如今会一次性收集浏览器 Cookie、已保存密码以及钱包文件,然后发送到远程服务器。
一项分析 found 去年追踪的入侵事件中,大约三分之一涉及凭据盗窃,这表明这种手法已经相当普遍。
这种黑产也日益工业化,研究人员 flagging 出一种名为 Storm 的订阅式窃取程序,每月租金不到 1000 美元,通过浏览器扩展和桌面应用把钱包作为目标。
其他家族则会 watch 绑定到 Binance、Coinbase、MetaMask 和 Trust Wallet 的会话,然后窃取 Cookie,在无需密码的情况下登录账户。
DBSC 走向用户的漫长之路
Google 首次在 2024 年 unveiled DBSC,随后将其推进到公开测试阶段,并在 Windows 版 Chrome 146 及之后的版本中面向所有用户发布,Mac 则从 148 版起支持。
公司已在 Workspace 账户中默认 enabled 该功能,管理员无法将其关闭。对于那些整天保持交易所标签页和钱包扩展处于打开状态的交易者来说,这次更新悄然关闭了通往其资金的一条最简单路径。
接着读: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak