Хакер заобиколи „непобедимите“ защити на Passkey
Експериментът, който принуди ИТ колосите незабавно да поправят своите браузъри...
Емил Василев преди 4 минути 50 СподелиНай-четени
IT НовиниМетоди Дамянов - 1:08 | 10.03.2025Американските служби за сигурност възвърнаха милиони в Ripple, откраднати от един-единствен криптопортфейл
КосмосЕмил Василев - 13:00 | 09.03.2025Втората поредна детонация на Starship в небето може да значи фундаментални проблеми с кораба
КосмосЕмил Василев - 17:00 | 08.03.2025Обявена е датата на „ избавяне “ на астронавтите на НАСА, блокирани на МКС
Емил Василевhttps://www.kaldata.com/Изследователят по сигурността Тоби Риги организира първата сполучлива офанзива с Passkey, употребявайки закърпена накърнимост в мобилните браузъри. Бяха пуснати актуализации за сигурност за всички съществени браузъри: Chrome и Edge получиха кръпка през октомври 2024 година, Safari – през януари тази година, а Firefox – през предишния месец. Уязвимостта е докладвана като CVE-2024-9956.
Въпреки триумфа на офанзивата, проучването на Рига демонстрира, че Passkey остава доста по-сигурен от класическите влизания с ключова дума и даже от многофакторното засвидетелствуване (MFA). Работата на Риги също по този начин удостовери, че Passkey има свои лични уязвимости, макар че потреблението им е по-сложно и изисква специфични условия спрямо обичайните фишинг схеми.
Методологията на офанзивата изисква физическо слагане на хардуерно устройство в обсега на Bluetooth LE (до 100 метра). Нападателят би могъл да употребява Raspberry Pi, прикрит в раница, с цел да започва местен уеб сървър и да инициира процеса на засвидетелствуване на Passkey.
В един от сюжетите нападател разполага с подправена гореща точка за Wi-Fi на летище. Потенциална жертва се свързва с мрежата и вижда страница за засвидетелствуване в обществените мрежи, която изисква Passkey вместо ключова дума. След това BLE устройството на нападателя започва поръчка за WebAuthn от името на потребителя.
При естествен сюжет потребителят би трябвало да сканира QR код, само че Риги разкрил, че е допустимо да се извлече връзка FIDO:/ от QR кода и просто да се пренасочи жертвата към нея, заобикаляйки процеса на сканиране. В резултат на това потребителят се удостоверява, което на процедура разрешава на нападателя да получи достъп до неговия акаунт.
Основната накърнимост се състои в това, че връзките FIDO:/ са навигационни, което заобикаля нуждата от сканиране на QR кода, а жертвата в никакъв случай няма да разбере за междинното хардуерно устройство, което извършваше прокси засвидетелствуване от нейно име.
По създание това беше модерна MitM/AitM офанзива, само че осъществена благодарение на хардуер и приспособена към паролите и стандартите FIDO. Риги твърди, че разработчиците на браузъри са блокирали навигацията към FIDO:/ URI. Това би трябвало да попречи на повторението на офанзивата в този ѝ тип.
