Google rüstet Chrome gegen Cookie-Stealing-Angriffe
Google testet derzeit eine neue Funktion namens Device Bound Session Credentials (DBSC) in Chrome. Diese Funktion soll Nutzer zukünftig vor dem Diebstahl von Sitzungs-Cookies durch Malware schützen. Der Prototyp wird derzeit mit einigen Nutzern von Google-Konten getestet, die Chrome Beta verwenden. Das Ziel des Chromium-Teams von Google ist es, diese Funktion zu einem offenen Webstandard zu entwickeln.
Google erklärt, dass Device Bound Session Credentials (DBSC) durch die Bindung von Authentifizierungssitzungen an das Gerät den Bereich des Cookie-Diebstahls stören will. Dadurch verlieren gestohlene Cookies ihren Wert, da sie nicht mehr auf anderen Geräten verwendet werden können.
Google glaubt, dass dies die Erfolgsrate von Malware zum Cookie-Diebstahl erheblich reduzieren wird. Angreifer müssten lokal auf dem betroffenen Gerät agieren, was die Erkennung und Bereinigung durch Antiviren-Software und von Unternehmen verwaltete Geräte effektiver macht.
Die Entwicklung von Device Bound Session Credentials (DBSC) erfolgt vor dem Hintergrund von Berichten über handelsübliche Malware, die Cookies stiehlt, um den Schutz der Multi-Faktor-Authentifizierung (MFA) zu umgehen und unbefugten Zugang zu Online-Konten zu erhalten.
Solche Methoden zum Stehlen von Sitzungen existieren seit Jahren. Im Oktober 2021 berichtete die Threat Analysis Group (TAG) von Google über eine Phishing-Kampagne, die YouTube-Inhaltsersteller mit Cookie-stehlender Malware angriff, um Konten zu übernehmen und für Kryptowährungsbetrug zu nutzen.
Anfang Januar dieses Jahres berichtete CloudSEK, dass Informationsdiebe wie Lumma, Rhadamanthys, Stealc, Meduza, RisePro und WhiteSnake ihre Fähigkeiten verbessert haben, um Benutzersitzungen zu übernehmen und auch nach einem Passwort-Reset auf Google-Dienste zuzugreifen.
Google erklärte damals, dass Malware-Angriffe, die Cookies und Tokens stehlen, nichts Neues seien. Das Unternehmen aktualisiert regelmäßig seine Abwehrmaßnahmen, um betroffene Nutzer zu schützen. Um sich vor Phishing und Malware-Downloads zu schützen, empfiehlt Google den Nutzern, Enhanced Safe Browsing im Chrome-Webbrowser zu aktivieren.
DBSC zielt darauf ab, böswillige Aktivitäten einzuschränken, indem es eine kryptografische Methode einführt, um Sitzungen an ein bestimmtes Gerät zu binden. Dadurch wird es für Angreifer schwieriger, gestohlene Cookies zu missbrauchen und Konten zu übernehmen.
Diese neue Funktion, die über eine API angeboten wird, erreicht dies, indem sie einem Server erlaubt, eine Sitzung mit einem öffentlichen Schlüssel zu verknüpfen. Der Browser erstellt dieses Schlüsselpaar (öffentlich und privat) jedes Mal, wenn eine neue Sitzung gestartet wird.
Es ist wichtig zu beachten, dass das Schlüsselpaar lokal auf dem Gerät mit Hilfe von Trusted Platform Modules (TPMs) gespeichert wird. Die DBSCI-API ermöglicht es dem Server auch, während der gesamten Sitzungsdauer den Besitz des privaten Schlüssels zu überprüfen, um sicherzustellen, dass die Sitzung auf demselben Gerät aktiv bleibt.
„DBSC bietet eine API für Websites, um die Lebensdauer solcher Schlüssel im Rahmen einer Sitzung zu steuern. Außerdem fungiert es als Protokoll für die regelmäßige automatische Überprüfung des Besitzes dieser Schlüssel durch die Website-Server“, so Google in einem Beitrag auf Github.
Jede Sitzung hat ihren eigenen separaten Schlüssel, und es sollte nicht möglich sein zu erkennen, ob zwei verschiedene Sitzungsschlüssel von demselben Gerät stammen. Indem der private Schlüssel an das Gerät gebunden wird und regelmäßige Überprüfungen erfolgen, kann der Browser die Auswirkungen von Malware einschränken, die versucht, gestohlene Cookies außerhalb des Geräts zu verwenden. Dadurch steigt die Chance, dass entweder der Browser oder der Server den Cookie-Diebstahl erkennt und dagegen vorgeht.
Ein entscheidender Vorbehalt ist, dass DBSC davon ausgeht, dass die Benutzergeräte über eine sichere Methode zum Signieren von Anfragen verfügen und gleichzeitig die privaten Schlüssel vor der Entwendung durch Malware schützen. Dies setzt voraus, dass der Webbrowser Zugriff auf das TPM hat.
Google will die Unterstützung für DBSC zunächst für etwa die Hälfte der Chrome-Desktop-Nutzer ausrollen, basierend auf den Hardware-Fähigkeiten ihrer Geräte. Das Projekt soll mit den umfassenderen Plänen des Unternehmens abgestimmt werden, bis Ende des Jahres über die Privacy Sandbox-Initiative Drittanbieter-Cookies im Browser abzuschaffen.
Das Ziel ist sicherzustellen, dass DBSC nicht zu einem neuen Tracking-Werkzeug wird, sobald Cookies von Drittanbietern verschwinden, und dass solche Cookies in der Zwischenzeit vollständig geschützt werden können. Wenn ein Nutzer Cookies, Cookies von Drittanbietern oder Cookies für eine bestimmte Website vollständig deaktiviert, wird auch DBSC deaktiviert.
Google arbeitet außerdem mit mehreren Serveranbietern, Identitäts-Providern (IdPs) und anderen Browseranbietern wie Microsoft Edge und Okta zusammen, die Interesse an DBSC gezeigt haben. Die Origin-Tests für DBSC auf allen unterstützten Websites sollen bis Ende des Jahres beginnen.