SchwachstellenMalwareHackerangriffe

Chrome sperrt Sitzungs-Cookie-Diebstahl: Googles neues Sicherheitsfeature schützt vor Account-Übernahmen

Von CyberDeutsch Redaktion
Chrome sperrt Sitzungs-Cookie-Diebstahl: Googles neues Sicherheitsfeature schützt vor Account-Übernahmen
Zusammenfassung

Google hat die Device Bound Session Credentials (DBSC) für alle Chrome-Nutzer aktiviert – eine Sicherheitsfunktion, die Angriffe auf Benutzerkonten durch gestohlene Sitzungs-Cookies unterbinden soll. Die Technologie verknüpft Session-Cookies kryptographisch mit der Hardware des Geräts, etwa dem Trusted Platform Module unter Windows oder dem Secure Enclave auf macOS, sodass Hacker selbst mit erbeuteten Cookies nicht in Konten eindringen können. Damit wird auch Multi-Faktor-Authentifizierung umgangen. Die Funktion, seit April in der Betaversion verfügbar, wird derzeit für alle Google-Workspace-Kunden, Workspace-Abonnenten und Nutzer persönlicher Google-Konten ausgerollt und ist standardmäßig aktiviert. Das ist insbesondere für deutsche Unternehmen und öffentliche Institutionen relevant, die Google Workspace nutzen, da sie damit vor Bedrohungen durch Info-Stealer-Malware wie Lumma und Rhadamanthys besser geschützt sind. Solche Schadsoftware hat in der Vergangenheit Google-Authentifizierungs-Cookies gestohlen und zur Kontübernahme missbraucht. Mit DBSC wird diese Angriffsvektors deutlich erschwert, da die erforderlichen kryptographischen Schlüssel an das Endgerät gebunden und somit nicht für Angreifer zugänglich sind.

Das neue Chrome-Feature DBSC wurde bereits im April 2024 angekündigt und seitdem in der Beta-Phase getestet. Jetzt rollt Google es für alle Nutzer aus – zunächst für Google Workspace-Kunden, Workspace Individual-Abonnenten und Nutzer mit persönlichen Google-Konten. Das Feature wird bei Google Workspace-Kunden standardmäßig aktiviert und kann von Administratoren nicht deaktiviert werden.

Wie die Technologie funktioniert, erklärt Google selbst: DBSC bindet Sitzungs-Cookies kryptographisch an die Hardware des Geräts. Die Public- und Private-Keys, die zur Ver- und Entschlüsselung sensibler Daten notwendig sind, werden vom Sicherheitschip des Computers generiert und können nicht gestohlen werden. Dies macht es Angreifern unmöglich, gestohlene Cookies zu missbrauchen.

Google beschreibt den Ansatz als paradigmatischen Wechsel: “Von reaktiver Erkennung zu proaktiver Prävention.” Statt zu versuchen, Cookies-Diebstahl zu erkennen, wird er schlicht wirkungslos gemacht.

Der Hintergrund ist besorgniserregend. In der Vergangenheit haben Cyberkriminelle gezielt die undokumentierte Google OAuth “MultiLogin”-API missbraucht, um neue Authentifizierungs-Cookies zu generieren, nachdem gestohlene abgelaufen waren. Die Infostealer-Malware-Operationen Lumma und Rhadamanthys haben öffentlich behauptet, dass sie abgelaufene Google-Authentifizierungscookies reaktivieren und damit auf infizierte Google-Konten zugreifen konnten.

Für Unternehmen und Einzelnutzer bedeutet DBSC eine erhebliche Sicherheitssteigerung. Selbst wenn Malware auf dem Gerät vorhanden ist oder ein Cookie erfolgreich gestohlen wird, können Angreifer damit nicht viel anfangen. Die fehlenden kryptographischen Schlüssel machen das Cookie wertlos.

Google empfiehlt Nutzern parallel weiterhin, Malware von ihren Geräten zu entfernen und Chrome’s Enhanced Safe Browsing zu nutzen – einen Schutzmodus gegen Phishing und Malware. Mit DBSC wird die Abwehr jedoch grundlegend robuster.

Für deutsche Organisationen, die DSGVO-konform arbeiten müssen, ist das Feature auch relevant: Es reduziert das Risiko von Datenschutzverletzungen erheblich, da Account-Übernahmen durch Cookie-Diebstahl nun deutlich schwerer fallen. Das BSI wird diese Entwicklung vermutlich in seinen Cybersicherheitsempfehlungen berücksichtigen.

Ähnliche Artikel