MalwareSchwachstellenCyberkriminalität

Chrome-Verschlüsselung geknackt: VoidStealer umgeht Googles Sicherheitsfeature

Von CyberDeutsch Redaktion
Chrome-Verschlüsselung geknackt: VoidStealer umgeht Googles Sicherheitsfeature
Zusammenfassung

Die Sicherheitsarchitektur moderner Browser gerät zunehmend unter Druck. Cyberkriminelle haben erneut eine Schwachstelle in Googles Chrome-Verschlüsselungssystem gefunden und können damit die sogenannte App-Bound Encryption (ABE) umgehen, die Google im Juli 2024 einführte, um Session-Cookies und sensible Daten zu schützen. Die Autoren des VoidStealer-Trojaners nutzen dabei einen neuen Angriffsvektor: Sie binden sich als Debugger an den Browser an und pausieren den Prozess genau in dem Moment, in dem Chrome Daten entschlüsselt, um Websites zu besuchen oder gespeicherte Zugangsdaten zu laden. So können sie den Verschlüsselungsschlüssel direkt aus dem Arbeitsspeicher extrahieren. Dies ist bereits die neunte bekannte Umgehung von ABEs Schutzmaßnahmen. Der Bypass betrifft nicht nur Chrome, sondern auch andere Chromium-basierte Browser wie Microsoft Edge, Opera und Brave. Für deutsche Nutzer und Unternehmen ist dies besonders besorgniserregend, da Browser zunehmend als Speicher für Authentifizierungstoken, Passwörter und finanzielle Informationen dienen. Mit der fortschreitenden Digitalisierung und dem Einsatz von Web-Anwendungen in Unternehmensumgebungen wächst das Risiko erheblich, dass Angreifer über diesen Weg Zugang zu kritischen Geschäftsdaten erlangen.

Die technische Ausgangslage war ambitioniert: Google hatte ABE entwickelt, um auf Windows-Systemen ein Sicherheitsloch zu schließen, das die Native Data Protection API (DPAPI) hinterlassen hatte. DPAPI verschlüsselt zwar Daten, schützt diese aber nicht vor Zugriffen durch bösartige Anwendungen, die als legitimer Benutzer agieren. ABE sollte dieses Problem lösen, indem nur die Chrome-Anwendung selbst – nicht aber beliebige Prozesse des Benutzers – auf verschlüsselte Daten zugreifen konnte. Ein cleveres Konzept, das sich in der Praxis jedoch schnell als nicht hinreichend erwies.

Bereits kurz nach der Einführung zeigten Sicherheitsforscher wie Alex Hagenah und später die CyberArk-Researchers mit ihrer C4-Attacke-Technik, dass ABE überwindbar ist. VoidStealer-Entwickler haben nun eine neue Strategie entwickelt. Sie nutzen eine bemerkenswert einfache, aber effektive Methode: Die Malware bindet sich als Debugger in den Browser ein – eine Funktion, die Entwickler für Fehlersuche verwenden. Der Angreifer identifiziert dann den exakten Moment, in dem Chrome die Daten entschlüsselt, um sich in Websites anzumelden oder gespeicherte Credentials zu nutzen. In diesem kritischen Augenblick liegt der Master-Key kurzzeitig im Klartext im Browser-Speicher vor. VoidStealer pausiert den Prozess in diesem Moment und extrahiert den Schlüssel direkt aus dem RAM – eine sogenannte “Time-of-Use”-Attacke.

Dies offenbart ein fundamentales Problem: Solange Daten in Chrome verwendet werden müssen, sind sie verwundbar. Die Sicherheitsarchitekten hatten angenommen, Angreifer müssten entweder Systemrechte eskalieren oder Code direkt in Chrome injizieren. VoidStealer zeigt, dass es elegantere Wege gibt.

Für Unternehmen und Privatnutzer im deutschsprachigen Raum ergeben sich mehrere Implikationen: Browser sind längst nicht mehr nur Anwendungen, sondern zentrale Datenrepositorien mit Authentifizierungs-Token, Credentials und Finanzinformationen. Der aktuelle Schwachpunkt unterstreicht die Notwendigkeit, über reine Browser-Sicherheit hinauszugehen – mit hardwaregestützter Authentifizierung, Zero-Trust-Architekturen und kontinuierlicher Netzwerk-Überwachung. Das BSI sollte zeitnah Handlungsempfehlungen veröffentlichen; betroffene Organisationen sind zur dokumentierten Risikobewertung verpflichtet.

Ähnliche Artikel