Veröffentlicht: 17. März 2025
Letztes Jahr haben wir die Sicherheit von Cookies und Anmeldedaten mit der App-gebundenen Verschlüsselung für Chrome verbessert.
Wir haben festgestellt, dass diese neue Schutzmaßnahme zu einer deutlichen Verringerung dieser Art von Kontohack führt. Angreifer sind jedoch weiterhin sehr motiviert, sich an diese neuen Abwehrmaßnahmen anzupassen. Wir beobachten daher weiterhin die von Infodieben verwendeten Techniken und Verhaltensweisen.
Seit die app-gebundene Verschlüsselung aktiviert wurde, haben wir einen Anstieg der Anzahl von Angreifern festgestellt, die Cookies mithilfe des Chrome-Remote-Debuggings extrahieren. Die Verwendung dieser Methode zum Stehlen von Chrome-Cookies wird seit 2018 diskutiert. Allerdings zeigen unsere internen Daten, dass die Nutzung des Remote-Debugging-Ports in letzter Zeit zugenommen hat. Das belegen auch Blogbeiträge zu diesem Thema und Tools zum Extrahieren von Cookies. Wir werden diese Methoden weiterhin unterbinden und Angreifer weiter einschränken, um die Kosten dieser Angriffe zu erhöhen und die Sicherheit der Chrome-Nutzer zu schützen.
Daher ändern wir ab Chrome 136 das Verhalten von --remote-debugging-port und --remote-debugging-pipe. Diese Schalter werden nicht mehr berücksichtigt, wenn versucht wird, das Standarddatenverzeichnis von Chrome zu debuggen. Diese Schalter müssen jetzt mit dem Schalter --user-data-dir kombiniert werden, um auf ein nicht standardmäßiges Verzeichnis zu verweisen. Für ein nicht standardmäßiges Datenverzeichnis wird ein anderer Verschlüsselungsschlüssel verwendet. Das bedeutet, dass die Chrome-Daten jetzt vor Angreifern geschützt sind.
Für Entwickler, die Chrome debuggen müssen (z. B. über VSCode), wird in der Anleitung bereits die Verwendung eines benutzerdefinierten Nutzerdatenverzeichnisses angegeben. Wir empfehlen weiterhin diesen Ansatz, um die Fehlerbehebung von echten Profilen zu isolieren.
Für Szenarien zur Browserautomatisierung empfehlen wir die Verwendung von Chrome for Testing, da dort das bisherige Verhalten beibehalten wird.
Melden Sie Probleme mit dieser neuen Sicherheitsfunktion bitte unter crbug.com.