CISO SlowMist: Увійти за допомогою WebAuthn ключа має серйозні проблеми безпеки

ChainCatcher повідомляє, що офіцер з інформаційної безпеки SlowMist 23pds опублікував на платформі X повідомлення про новий тип атаки, що дозволяє обійти вхід за допомогою ключа WebAuthn. Зловмисник може за допомогою шкідливого розширення браузера або XSS-уразливості на сайті перехопити API WebAuthn, примусово знизити рівень автентифікації до входу за паролем або змінити процес реєстрації ключа для викрадення облікових даних. Для здійснення цієї атаки не потрібно фізичного доступу до пристрою чи використання біометричних функцій.

WebAuthn — це важливий стандарт веб-аутентифікації, розроблений W3C та FIDO Alliance, який підтримує апаратні ключі, біометричну автентифікацію та інші способи підтвердження особи, і наразі широко використовується для безпечного входу на сайти. Рекомендується відповідним компаніям та користувачам своєчасно звернути увагу на цей ризик безпеки.