慢霧 CISO：WebAuthn 金鑰登入存在重大安全隱患

ChainCatcher消息，慢雾資訊安全官23pds在X平台發文表示，出現新型WebAuthn密鑰登入繞過攻擊方式。攻擊者可透過惡意瀏覽器擴展或網站XSS漏洞劫持WebAuthn API，實現強制降級為密碼登入或竄改密鑰註冊流程以竊取憑證。該攻擊無需實體接觸設備或存取生物識別功能即可完成。

WebAuthn是W3C和FIDO聯盟制定的重要Web認證標準，支援硬體密鑰、生物識別等多種認證方式，目前被廣泛應用於網站安全登入。建議相關企業和用戶及時關注該安全風險。