**Google** gibt bekannt, dass die Sicherheitsfunktion **Chrome** Device Bound Session Credentials (DBSC) jetzt allgemein verfügbar ist und für alle Nutzer ausgerollt wird, um Kontoübernahmen zu verhindern. DBSC, das seit April im Beta-Status verfügbar war, wurde erstmals 2024 angekündigt. Es dient dazu, Sitzungs-Cookies kryptografisch an ein bestimmtes Gerät zu binden und so zu verhindern, dass Hacker solche gestohlenen Cookies verwenden, um Multi-Faktor-Authentifizierung (MFA) zu umgehen und Benutzerkonten zu kapern. ### Wie DBSC funktioniert DBSC funktioniert, indem es Benutzersitzungen kryptografisch mit der Hardware verknüpft, wie z. B. dem Sicherheitschip des Computers (z. B. dem Trusted Platform Module (TPM) unter **Windows** und der Secure Enclave unter **macOS**). Da die eindeutigen öffentlichen/privaten Schlüssel, die zur Verschlüsselung und Entschlüsselung sensibler Daten verwendet werden, vom Sicherheitschip generiert werden, können sie nicht gestohlen werden, was Angreifer daran hindert, gestohlene Sitzungs-Cookies zu verwenden. "DBSC verändert die Fähigkeit des Webs, sich gegen diese Bedrohung zu verteidigen, grundlegend, indem es das Paradigma von reaktiver Erkennung zu proaktiver Prävention verschiebt und sicherstellt, dass erfolgreich exfiltrierte Cookies nicht zum Zugriff auf Benutzerkonten verwendet werden können", sagte **Google** im April. "DBSC stärkt die Kontosicherheit, nachdem sich Benutzer angemeldet haben, und hilft dabei, ein Sitzungs-Cookie – kleine Dateien, die von Websites verwendet werden, um Benutzerinformationen zu speichern – an das Gerät zu binden, von dem aus ein Benutzer authentifiziert wurde. Selbst wenn Malware auf dem Gerät des Benutzers vorhanden war, reduziert DBSC das Risiko eines Sitzungsdiebstahls und macht es für böswillige Akteure erheblich schwieriger, gestohlene Sitzungs-Cookies auszunutzen", fügte es diese Woche hinzu.  Die Funktion wird jetzt für alle **Google Workspace**-Kunden, Workspace Individual-Abonnenten und Nutzer mit persönlichen **Google**-Konten ausgerollt. **Google** fügte hinzu, dass die Funktion bei der Einführung standardmäßig für alle **Google Workspace**-Kunden aktiviert wird und dass Administratoren sie nicht deaktivieren können. ### Frühere Missbräuche und Abhilfemaßnahmen In der Vergangenheit haben Bedrohungsakteure den undokumentierten **Google** OAuth "MultiLogin" API-Endpunkt missbraucht, um neue Authentifizierungs-Cookies zu generieren, nachdem gestohlene abgelaufen waren. Die Informationsdiebstahl-Malware-Operationen **Lumma** und **Rhadamanthys** behaupteten ebenfalls, dass sie abgelaufene **Google**-Authentifizierungs-Cookies, die bei Angriffen gestohlen wurden, wiederherstellen könnten, um Zugriff auf die **Google**-Konten infizierter Nutzer zu erhalten. Damals riet **Google** den Kunden, Malware von ihren Geräten zu entfernen, und empfahl die Aktivierung des erweiterten sicheren Browsing-Sicherheitsmodus von **Chrome**, um sich vor Phishing- und Malware-Angriffen zu schützen. Die neue Sicherheitsfunktion Chrome Device Bound Session Credentials (DBSC) sollte jedoch böswillige Akteure effektiv daran hindern, solche gestohlenen Cookies zu missbrauchen, da sie keinen Zugriff auf die kryptografischen Schlüssel haben, die zu ihrer Verwendung erforderlich sind.