Infostealer-Malware hat sich in den vergangenen Jahren zu einer der gefährlichsten Bedrohungen für Online-Sicherheit entwickelt. Im Gegensatz zu klassischen Angriffsszenarien benötigen Cyberkriminelle dabei nicht einmal das Passwort eines Nutzers zu knacken. Stattdessen stehlen spezialisierte Schadprogramme einfach die Session-Cookies, die der Browser lokal speichert – digitale Authentifizierungstoken, die es ermöglichen, sich bei Services anzumelden, ohne Anmeldedaten erneut eingeben zu müssen.
Google hat dieses Problem lange Zeit als fundamental eingestuft: “Sobald Malware Zugriff auf einen Rechner erlangt hat, kann sie die lokalen Dateien und den Arbeitsspeicher des Browsers auslesen. Es gibt daher keine zuverlässige Möglichkeit, Cookies rein durch Software zu schützen”, erklärt das Unternehmen in einem aktuellen Announcement.
Die neue DBSC-Technologie durchbricht diesen Kreislauf durch eine elegante Lösung: Session-Cookies werden nicht länger nur softwareseitig verwaltet, sondern mit der Sicherheitshardware des Computers verbunden. Google hat hierfür mit Microsoft an einem offenen Web-Standard zusammengearbeitet. Das Verfahren funktioniert so, dass der TPM-Chip oder die Secure Enclave (bei macOS) eindeutige öffentliche und private Schlüsselpaare generiert. Diese Schlüssel können nicht vom Gerät exportiert werden – selbst wenn Malware den gesamten Speicher ausliest.
Wenn ein Angreifer also ein Session-Cookie stiehlt, ist dieses ohne den zugehörigen privaten Schlüssel wertlos. Der Server verlangt beim Refresh des Tokens einen kryptographischen Beweis, dass der Client immer noch die private Komponente besitzt. “Die Ausstellung neuer kurzfristiger Session-Cookies ist davon abhängig, dass Chrome dem Server den Besitz des entsprechenden privaten Schlüssels nachweist”, so Google.
In einem einjährigen Pilotprogramm mit verschiedenen Web-Plattformen, darunter Okta, beobachtete Google einen deutlichen Rückgang von Session-Diebstahl-Ereignissen. Auch Datenschutz wurde von Anfang an berücksichtigt: Jede Session wird durch einen eigenen Schlüssel geschützt, was verhindert, dass Websites Nutzeraktivitäten über mehrere Sitzungen hinweg verfolgen können.
Für Web-Entwickler stellt Google umfangreiche Dokumentation zur Verfügung. Die Implementierung erfordert nur die Erweiterung der Backend-Infrastruktur um spezialisierte Registrierungs- und Refresh-Endpunkte, ohne dabei die Frontend-Kompatibilität zu gefährden. Die offizielle Spezifikation ist beim W3C verfügbar. Während Windows-Nutzer bereits von diesem Schutz profitieren, werden macOS-Anwender in einer zukünftigen Chrome-Version folgen.