Im Juli 2024 führte Google mit Chrome 127 zum Schutz von Anmeldedaten und Cookies vor unberechtigtem Zugriff die App-Bound-Encryption ein. Sicherheitsforscher Alexander Hagenah konnte diese Verschlüsselung bereits aushebeln.
Die anwendungsbezogene Verschlüsselung, die Google mit der Version 127 von Chrome eingeführt hat, soll Angreifer hindern, Anmeldedaten, Cookies und andere sensible Daten von Nutzern im Webbrowser abzugreifen. Sicherheitsforscher Alexander Hagenah veröffentlichte jetzt ein Windows-Tool, mit dem dieser Schutz ausgehebelt werden kann. Sensible Browser-Daten lassen sich mit diesem Tool extrahieren. Dazu muss das Tool mit den Administratorrechten in das Verzeichnis von Chrome kopiert werden.
App-Bound-Verschlüsselung mit Einschleusen von Code umgehen
Google stellte die neue Funktion Ende Juli in einem Blogbeitrag vor und erläuterte, dass die Malware einen Code in Chrome einschleusen oder Systemrechte erlangen müsste, um die App-Bound-Verschlüsselung außer Kraft zu setzen. Es reicht nicht aus, Nutzer zu animieren, eine bösartige Anwendung auszuführen.
Das hat sich vermutlich so nicht bewahrheitet, wie Bleeping Computer berichtet. Adminrechte genügen, um das auf Github von Alexander Hagenah veröffentlichte Tool zu kopieren und in das Anwendungsverzeichnis von Chrome einzufügen. Die Schlüssel zum Schutz der Anwenderdaten können mit dem Tool dann aus der Local-State-Datei des Browsers extrahiert werden.
Administratorrechte können ziemlich einfach erlangt werden. Häufig bedienen Nutzer, die Windows privat anwenden, ihre PCs mit administrativen Rechten. Angreifer könnten auch ungepatchte Sicherheitslücken im Betriebssystem ausnutzen und einen Zugriff erhalten.
Verschlüsselung von Google als sicher eingestuft
Die Verschlüsselung wird von Google dennoch als sicher eingestuft. Angreifer benötigen zunächst Systemrechte, um an die Daten der Nutzer zu gelangen. Eine Umgehung der App-Bound-Verschlüsselung von Google Chrome ist nicht völlig neu. Wie Bleeping Computer berichtet, haben einige Entwickler von Infostealer-Malware bereits entsprechende Techniken in ihre Schadsoftware integriert. Ein solches Beispiel ist der Infostealer Lumma, der bereits Ende 2023 Cyberkriminellen eine Reaktivierung von abgelaufenen Sitzungscookies von Google-Konten offerierte. Ein weiterer Malware-Stamm, der solche Techniken nutzt, ist Vidar.
Elastic Security Lab warnt noch vor weiterer Malware, mit der sich die Chrome-Verschlüsselung umgehen lässt, beispielsweise Xenostealer oder Metastealer. Google betont jedoch, dass die Voraussetzung, Administratorrechte zu erlangen, als Hürde ausreicht.
Bedrohungslage noch deutlich verschärft
Das leicht zugängliche Tool von Alexander Hagenah verschärft noch einmal deutlich die Bedrohungslage. Auch Angreifer, die weniger spezialisiert sind, könnten davon profitieren. Die Sicherheitslücke wirft Fragen auf, wie die steigende Bedrohungslage durch solche Angreifer eingedämmt werden kann. Google muss seine Schutzmechanismen weiter verbessern. Die Technik ist nun öffentlich und kann von noch mehr Angreifern genutzt werden.
Quellen: Google, Elastic Security Lab, Bleeping Computer, Alexander Hagenah auf Github, Golem, hardwareLUXX