CISO Slow Mist: Серьезные проблемы с безопасностью при входе с помощью WebAuthn Секретный ключ

Сообщение ChainCatcher, информационный безопасник SlowMist 23pds опубликовал на платформе X, что существует новый способ атаки на обход входа с использованием WebAuthn ключа. Злоумышленники могут перехватывать WebAuthn API через вредоносные расширения браузера или уязвимости XSS на сайте, принуждая к понижению уровня безопасности до входа с паролем или подменяя процесс регистрации ключа для кражи учетных данных. Эта атака не требует физического контакта с устройством или доступа к биометрическим функциям. WebAuthn является важным стандартом веб-аутентификации, разработанным W3C и Альянсом FIDO, который поддерживает различные методы аутентификации, такие как аппаратные ключи и биометрия, и в настоящее время широко используется для безопасного входа на сайты. Рекомендуется соответствующим компаниям и пользователям своевременно следовать за этим риском безопасности.