文/林妍溱|2026-04-10發表
繼2024年4月公布後,Google本週釋出Windows版本Chrome 146版,提供裝置綁定會話憑證(Device Bound Session Credentials,DBSC)技術,防範惡意程式竊取cookies。預定下一版macOS版本Chrome加入防護。Google並公布推動DBSC標準化的計畫。
用戶裝置一旦不慎下載惡意程式,可能導致會話竊取(session theft)。惡意程式會從瀏覽器擷取會話cookies,或等用戶登入新帳號時攔截token,最後送到攻擊者控制的伺服器。由於cookies效期拉長,駭客就能利用它們非授權存取用戶帳號,也不需要密碼。而被竊的憑證可能在駭客或地下市場出售,導致攻擊來源擴大。
竊資程式如LummaC2竊取憑證的手法愈來愈高明,一旦惡意程式進入用戶裝置,就能從本機檔案和記憶體讀取到瀏覽器儲存的驗證cookies。過去任何作業系統上沒有有效防範cookies竊取的純軟體方案。只能在發生憑證被竊事件後,利用一組繁複的啟發式分析(heuristic)偵測,但這種作法是被動式偵測,滲透攻擊者往往也能迴避。DBSC的出現則實現主動防禦,使被竊的cookies無法用於使用者帳號驗證。
簡單而言,若把cookies當成存取服務伺服器的通行證,問題出現在誰取得cookies通行證,就能獲得伺服器放行。DBSC就是將cookies加入數位鎖,使只有儲存該cookies的那臺機器,才能在伺服器驗證成功。Google推動DBSC的核心是Chrome,在用戶登入網站時Chrome會配合Windows PC的TPM(Mac電腦則是Secure Enclave)生成公、私鑰。公鑰儲存在服務伺服器(或網站),只認用戶機器,而私鑰以加密儲存在用戶硬體。Chrome在登入服務伺服器時,必須以私鑰和伺服器完成驗證,確認用戶裝置是當初登入的那臺裝置。
Google的作法是推動DBSC為業界標準,並建立一個生態體系。
這個機制涉及裝置金鑰、瀏覽器、硬體業者與產業標準,Google推DBSC的作法是先在Chrome落地並結合自身服務擴散,再試圖標準化。目前只有Chrome支援。
Google表示,為推動DBSC標準化,除了產業合作,未來Chrome版本將會陸續加入新功能,包括聯邦式身份,支援跨來源綁定;進階註冊(registration),將DBSC會話綁定到既有金鑰如mTLS憑證或硬體金鑰;以及擴大裝置支援,透過加入軟體金鑰來保護沒有金鑰技術的硬體(如舊PC)。
線