Nutzerkonten gefährdet: Hacker hebeln neue Verschlüsselung von Chrome aus
Erst im Juli hatte Google eine neue anwendungsbezogene (App-Bound) Verschlüsselung vorgestellt, die mit Version 127 des Chrome-Browsers eingeführt wurde und Angreifer daran hindern soll, im Webbrowser gespeicherte Cookies, Anmeldedaten und andere sensible Informationen abzugreifen. Nun hat jedoch ein Sicherheitsforscher namens Alexander Hagenah ein Windows-Tool veröffentlicht, mit dem sich dieser Schutz aushebeln lässt.
Zur Vorstellung der neuen Funktion erklärte Google Ende Juli in einem Blogbeitrag(öffnet im neuen Fenster) , eine Malware müsse Systemrechte erlangen oder Code in Chrome einschleusen, um die App-Bound-Verschlüsselung zu umgehen. Anwender dazu zu bringen, einfach eine bösartige Anwendung auszuführen, reiche dafür nicht aus.
Dies scheint sich jedoch nicht zu bewahrheiten. Denn wie aus einem Bericht von Bleeping Computer(öffnet im neuen Fenster) hervorgeht, werden lediglich Adminrechte benötigt, um das von Hagenah auf Github veröffentlichte Tool(öffnet im neuen Fenster) in das Anwendungsverzeichnis von Chrome zu kopieren. Von dort aus soll es die Schlüssel, durch die der Zugriff auf die genannten Daten geschützt wird, aus der Local-State-Datei des Browsers extrahieren können.
Administratorrechte lassen sich jedoch in der Regel vergleichsweise einfach erlangen. Insbesondere jene Nutzer, die Windows privat verwenden, bedienen ihre Computer ohnehin häufig mit administrativen Rechten. Andernfalls können Angreifer aber auch von ungepatchten Sicherheitslücken im Betriebssystem Gebrauch machen, die einen solchen Zugriff ermöglichen.
Infostealer umgehen die Verschlüsselung schon länger
Die Möglichkeit, die App-Bound-Verschlüsselung von Google Chrome zu umgehen, ist nicht gänzlich neu. Einige Entwickler von Infostealer-Malware hatten ihre Schadsoftware laut Bleeping Computer schon zuvor mit entsprechenden Techniken ausgestattet. Als Beispiel wird der Infostealer Lumma genannt, der schon Ende 2023 dadurch auffiel, dass er Cyberkriminellen die Reaktivierung abgelaufener Sitzungscookies von Google-Konten anbot .
Sicherheitsforscher von Elastic Security Labs zählen in einem Blogbeitrag(öffnet im neuen Fenster) aber noch weitere Malware-Stämme auf, die mit einer entsprechenden Technik zum Aushebeln der Cookie-Verschlüsselung ausgestattet sind – darunter Stealc/Vidar, Metastealer, Phemedrone und Xenostealer.
Dennoch verschärft Hagenahs Veröffentlichung die Bedrohungslage, da die breite Verfügbarkeit seines Tools die Wahrscheinlichkeit erhöht, dass weitere Angreifer von seiner Technik Gebrauch machen.
Google scheint dem aktuell noch nichts entgegensetzen zu können und sich auf dem erforderlichen Admin-Zugriff auszuruhen. "Dieser Code erfordert Administratorrechte, was zeigt, dass wir erfolgreich den Grad des Zugriffs erhöht haben, der erforderlich ist, um diese Art von Angriff erfolgreich durchzuführen" , teilte ein Google-Sprecher mit.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.