ZURÜCK ZU NACHRICHTEN
ForschungHoch

Chrome für Android stärkt Sicherheit mit erweiterten Schutzfunktionen

3 Min. LesezeitQuelle: Google Security Blog
Chrome settings screen showing Always Use Secure Connections toggle for HTTPS-First Mode

Google integriert Advanced Protection in Chrome für Android – mit HTTPS-First Mode, vollständiger Site Isolation und reduziertem JavaScript-Angriffsvektor für Hochrisiko-Nutzer.

Chrome für Android verbessert Sicherheit durch Integration von Advanced Protection

Das Google Chrome Security Team hat die Integration von Advanced Protection in Chrome für Android bekannt gegeben. Diese Erweiterung bringt robuste Sicherheitsmaßnahmen zu Hochrisiko-Nutzern wie Journalisten, Politikern und öffentlichen Persönlichkeiten. Als Teil des Advanced Protection Program von Android führt das Update drei zentrale Sicherheitsverbesserungen in Chrome ein: HTTPS-First Mode, vollständige Site Isolation und eine reduzierte JavaScript-Angriffsfläche.

Wichtige Sicherheitsverbesserungen

1. Sichere Verbindungen erzwingen (HTTPS-First Mode)

Advanced Protection aktiviert standardmäßig HTTPS-First Mode, um sicherzustellen, dass alle Verbindungen – sowohl öffentliche als auch private – verschlüsseltes HTTPS verwenden. Dies mindert Risiken wie Datenabfang oder das Einschleusen schädlicher Inhalte über unsicheres HTTP. Obwohl unverschlüsseltes HTTP weniger als 1 % der Seitenaufrufe in Chrome für Android ausmacht, bleibt es ein kritischer Angriffsvektor, wie bei gezielten Angriffen während der ägyptischen Wahlen 2023 beobachtet wurde.

  • Für alle Nutzer: Chrome hat den HTTPS-First Mode schrittweise ausgebaut, darunter:
    • Eine Variante, die nur auf öffentlichen Websites warnt (lokale Netzwerke wie 192.168.0.1 ausgenommen).
    • Automatische Durchsetzung im Incognito-Modus seit Chrome 127 (Juni 2024).
    • Verhinderung von HTTPS-zu-HTTP-Downgrades für häufig besuchte Websites (seit Chrome 133, Januar 2025).

Unternehmen können dies über die Richtlinien HTTPSOnlyMode und HTTPAllowlist konfigurieren.

2. Vollständige Site Isolation auf Mobilgeräten

Die Site Isolation, eine bisher auf den Desktop beschränkte Sicherheitsfunktion, ist nun unter Advanced Protection für Android-Geräte mit 4 GB+ RAM verfügbar. Sie isoliert jede Website in einem separaten Betriebssystem-Prozess, um zu verhindern, dass schädliche Websites auf Daten anderer Tabs zugreifen oder Schwachstellen ausnutzen. Ohne Advanced Protection isoliert Chrome auf Android nur angemeldete oder Formular-übermittelnde Websites, um Speicher zu sparen.

3. Reduzierte JavaScript-Angriffsfläche

Advanced Protection deaktiviert die hochrangigen JavaScript-Optimierer von V8, die zwar die Performance verbessern, historisch jedoch für etwa 50 % der ausgenutzten V8-Schwachstellen verantwortlich waren. Dieser Kompromiss erhöht die Sicherheit auf Kosten möglicher Performance-Einbußen bei einigen Websites.

  • Unternehmenskontrolle: Die Richtlinie DefaultJavaScriptOptimizerSetting ermöglicht es Organisationen, Optimierer zu deaktivieren und vertrauenswürdige SaaS-Anbieter auf eine Allowlist zu setzen.
  • Nutzerkontrolle: Seit Chrome 133 ist die Funktion als Website-Einstellung verfügbar, sodass Nutzer Optimierer pro Website aktivieren oder deaktivieren können.

Auswirkungen und Empfehlungen

Für Hochrisiko-Nutzer

Advanced Protection richtet sich an Personen, die gezielten Bedrohungen ausgesetzt sind, wie Journalisten oder Amtsträger. Um die Sicherheit zu maximieren:

  • Advanced Protection Program für Google-Konten aktivieren, das phishing-resistente MFA erfordert.
  • Advanced Protection auf Android 16+ mit Chrome 137+ aktivieren.
  • Geräte und Browser stets aktualisieren, um aufkommende Bedrohungen abzuwehren.

Für Unternehmen

Organisationen können diese Funktionen über Chrome Enterprise-Richtlinien nutzen, um:

  • HTTPS-First Mode für verwaltete Geräteflotten durchzusetzen.
  • Vollständige Site Isolation auf geeigneten Android-Geräten zu aktivieren.
  • JavaScript-Optimierer zu deaktivieren und gleichzeitig kritische Anwendungen auf die Allowlist zu setzen.

Für Website-Betreiber

Stellen Sie sicher, dass HTTPS eingesetzt wird, um Warnungen zu vermeiden und die Datenvertraulichkeit zu gewährleisten. Nutzen Sie HSTS-Header, um Protokoll-Downgrades zu verhindern.

Fazit

Die Integration von Advanced Protection in Chrome für Android spiegelt Googles risikobasiertes Sicherheitsmodell wider, das Performance und Schutz in Einklang bringt. Während die Standard-Einstellungen von Chrome für die meisten Nutzer sicher bleiben, bieten diese Verbesserungen kritische Schutzmaßnahmen für Hochrisiko-Personen und Unternehmen, die sensible Daten verwalten. Mit der Weiterentwicklung von Bedrohungen setzt Chrome weiterhin Maßstäbe für Browsersicherheit, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Advanced Protection ist auf Android 16+ mit Chrome 137 und neuer verfügbar.

Teilen

TwitterLinkedIn