Google beschreibt DBSC als einen grundlegenden Wechsel im Umgang mit Cookie-Diebstahl: Statt auf reaktive Erkennung setze man auf proaktive Verhinderung. Selbst erfolgreich entwendete Cookies könnten anschließend nicht mehr verwendet werden, um auf die Konten der Nutzer zuzugreifen, so das Unternehmen.
Der Mechanismus stützt sich auf den Sicherheitschip des jeweiligen Geräts. Weil die kryptografischen Schlüsselpaare direkt im Chip generiert werden – im TPM unter Windows oder in der Secure Enclave unter macOS –, können Angreifer sie nicht auslesen. Ohne diese Schlüssel sind gestohlene Session-Cookies wertlos.
Die Funktion wird nun an alle Google-Workspace-Kunden, an Abonnenten von Workspace Individual sowie an Inhaber persönlicher Google-Konten ausgerollt. Bei Google-Workspace-Kunden ist DBSC mit dem Rollout standardmäßig aktiviert; Administratoren können das Verfahren nicht abschalten.
Hintergrund sind frühere Angriffe auf gestohlene Authentifizierungs-Cookies. So missbrauchten Angreifer den nicht dokumentierten OAuth-Endpunkt „MultiLogin“ von Google, um nach Ablauf gestohlener Cookies neue Authentifizierungs-Cookies zu erzeugen. Auch die Infostealer-Operationen Lumma und Rhadamanthys behaupteten, abgelaufene gestohlene Google-Authentifizierungs-Cookies wiederherstellen und so auf die Google-Konten infizierter Nutzer zugreifen zu können.
Seinerzeit empfahl Google den Betroffenen, Schadsoftware von ihren Geräten zu entfernen, und riet zur Aktivierung des Chrome-Sicherheitsmodus „Enhanced Safe Browsing“ als Schutz vor Phishing- und Malware-Angriffen. Mit DBSC sollen Angreifer gestohlene Cookies künftig wirksam nicht mehr verwenden können, da ihnen die dafür nötigen kryptografischen Schlüssel fehlen.
