Google Chrome macht Cookie-Klau unter Windows sinnlos

Cyberkriminelle und ihre Infostealer haben es oftmals auf sogenannte Session-Cookies abgesehen. Damit erlangen sie Zugriff auf laufende Sitzungen, in denen Nutzer und Nutzerinnen an Diensten angemeldet sind. Google hat in Chrome für Windows ab Version 146 einen Schutz standardmäßig aktiviert und kündigt das in Kürze auch für macOS an.

Es geht dabei um die Funktion „Device Bound Session Credentials“ (DBSC), wie Google in einem Blogbeitrag erklärt. Dieser Cookie-Schutz ist seit 2024 in der Entwicklung und schafft nun den Sprung in die Praxis. Die kurze Erläuterung der Funktion lautet: Authentifizierte Sitzungen (authentication sessions) werden an das Gerät gebunden, mit dem die Anmeldung erfolgte. Gestohlene Cookies werden dadurch wertlos.

Google Chrome aktiviert Device Bound Session Credentials

Etwas ausführlicher steckt dahinter ein Mechanismus, der ein wenig an Passkeys erinnert. Beim Start einer Session erzeugt der Webbrowser ein Schlüsselpaar, bei dem der private Schlüssel auf dem Rechner verbleibt, derzeit geschützt im TPM (Trusted Platform Module) des Rechners. Zur Ablage im TPM nutzt Chrome Funktionen des Betriebssystems. Unter macOS kommt dafür die Secure Enclave zum Einsatz. Server nutzen den öffentlichen Schlüssel und können bei laufenden Sitzungen durch die API den Besitzbeweis des privaten Schlüssels beim Client anfordern.

Bei Session-Diebstahl laden User in der Regel unabsichtlich Malware herunter, die nach Aktivierung heimlich die Session-Cookies aus dem Browser ausschleusen oder auf neue Logins warten, bevor sie die Token an die Server der Angreifer übertragen. Infostealer-Malware wie Lumma wird Google zufolge immer geschickter beim Abgreifen der Zugangsdaten. Da Cookies in der Regel eine längere Laufzeit haben, können Angreifer sich damit unbefugten Zugang zu Nutzerkonten verschaffen. Derartige Session-Cookies werden dann gebündelt und unter Bedrohungsakteuren gehandelt oder verkauft. Das Ausschleusen solcher Cookies lasse sich mit Software allein jedoch nicht verlässlich verhindern.

DBSC soll das Problem nun lösen. Das Schlüsselpaar lässt sich nicht aus der Maschine exportieren. In Kombination mit Cookies mit kurzer Laufzeit führt das dazu, dass gestohlene Cookies zügig ablaufen und für Angreifer nutzlos werden. Google hat im vergangenen Jahr frühe Versionen des Mechanismus getestet und seitdem einen signifikanten Rückgang beim Session-Diebstahl beobachtet.

Web-Entwickler können ihre Systeme damit jetzt ebenfalls gegen Session-Klau wappnen. Google stellt dafür eine Anleitung für Entwickler bereit. Außerdem stellt das W3C eine aktuelle Spezifikation des Protokolls bereit, es gibt auch ein zugehöriges Projekt auf GitHub. Google kündigt bereits weitere Entwicklungen an. So soll eine Unterstützung für Single-Sign-on-Systeme (SSO) kommen oder noch strengerer Schutz zum Binden von DBSC an existierende, vertraute Schlüssel, anstatt beim Anmelden neue zu erstellen. Außerdem wollen die Entwickler die Möglichkeiten mit softwarebasierten Schlüsseln ausloten, um auch auf Geräten ohne spezialisierte Sicherheitshardware den Sicherheitsmechanismus anbieten zu können.

(dmk)