SchwachstellenMalwareDatenschutz

Chrome 146: Googles neue Waffe gegen Session-Diebstahl auf Windows-PCs

Chrome 146: Googles neue Waffe gegen Session-Diebstahl auf Windows-PCs
Zusammenfassung

Google hat eine bedeutende Sicherheitsverbesserung in Chrome 146 für Windows-Nutzer ausgerollt: Device Bound Session Credentials (DBSC) sind nun allgemein verfügbar. Diese Technologie bekämpft Session Theft, eine weit verbreitete Bedrohung, bei der Angreifer Sitzungs-Cookies aus Webbrowsern stehlen, um sich ohne Passwort Zugang zu Benutzerkonten zu verschaffen. Typischerweise passiert dies durch Malware wie Atomic, Lumma oder Vidar Stealer, die Cookies von infizierten Systemen abgreifen und an Cyberkriminelle verkaufen. DBSC bindet Authentifizierungssitzungen kryptografisch an ein bestimmtes Gerät und nutzt dabei Hardware-Sicherheitsmodule wie Trusted Platform Module (TPM) auf Windows oder Secure Enclave auf macOS. Selbst wenn Angreifer Cookies stehlen, werden diese schnell unbrauchbar, da der zugehörige private Schlüssel nicht exportierbar ist. Für deutsche Nutzer, Unternehmen und Behörden bedeutet dies einen erheblichen Sicherheitsfortschritt, insbesondere angesichts der wachsenden Bedrohung durch Stealer-Malware. Google plant, die Funktion auf weitere Geräte und macOS auszuweiten und arbeitet mit Microsoft an einem offenen Standard für die gesamte Webindustrie.

Die neue Funktion Device Bound Session Credentials (DBSC) markiert einen Wendepunkt im Kampf gegen eine der persistentesten Bedrohungen der modernen Internetnutzung. Wie Google in einem Blogpost erklärte, sollen damit Session-Cookies kryptographisch an ein bestimmtes Gerät gebunden werden – eine Maßnahme, die sogar gestohlene Authentifizierungstoken wertlos macht.

Das Problem, das DBSC lösen soll, ist weitverbreitet: Informationsstehler-Malware wie Atomic, Lumma oder Vidar Stealer infiltriert täglich tausende Systeme. Ihre Spezialität ist das Sammeln von Session-Cookies und anderen sensiblen Daten. Da diese Authentifizierungstoken oft über Tage oder Wochen gültig bleiben, können Angreifer damit Konten hijacken, ohne das Passwort zu kennen. Die gestohlenen Tokens werden auf dem Schwarzmarkt verkauft und weiterverkauft – ein lukratives Geschäft für Cyberkriminelle.

Googles Lösung nutzt Hardware-Sicherheitsmodule wie das Trusted Platform Module (TPM) unter Windows oder die Secure Enclave auf macOS. Diese Module generieren ein eindeutiges öffentlich-privates Schlüsselpaar, das das Gerät niemals verlässt. Der entscheidende Punkt: Neue Session-Cookies werden nur ausgestellt, wenn Chrome dem Server beweist, dass es den privaten Schlüssel besitzt. Da Angreifer diesen Schlüssel nicht stehlen können, verfallen auch abgegriffene Cookies schnell und werden für Kriminelle nutzlos.

Für Nutzer ohne sichere Hardwaremodul-Unterstützung funktioniert die Authentifizierung einfach mit Standard-Methoden – ohne Unterbrechung des Anmeldeprozesses. Google berichtet bereits von signifikant reduzierten Session-Diebstahl-Vorfällen seit der Testphase, die im April 2024 begann.

Ein weiterer wichtiger Aspekt: DBSC wurde gemeinsam mit Microsoft entwickelt und soll ein offener Webstandard werden. Google betont zugleich die Privatsphäre-Eigenschaften der Lösung. Die Architektur verhindert, dass Websites ein Nutzer-Verhalten über Sessions oder Websites hinweg nachverfolgen können. Geräte-Identifikatoren oder Attestierungsdaten werden nicht an Server übermittelt – nur der notwendige öffentliche Schlüssel pro Session. Dies schließt auch Missbrauch als Fingerprinting-Mechanismus aus.

Für deutsche Unternehmen und Privatnutzer bedeutet die Verbreitung dieser Technologie einen bedeutenden Sicherheitsgewinn. In einer Zeit, in der Malware-Infektionen alltäglich sind, bietet DBSC ein technisches Gegenmittel, das Angreifer auch bei erfolgreicher Systemkompromittierung ausbremst.

Ähnliche Artikel