Хакерите се научиха да заобикалят защитата на Passkey с помощта на злонамерени скриптове и разширения
Изследователи по сигурността от компанията SquareX демонстрираха способ за офанзива на годишната конференция Def Con, който разрешава на нападателите да получат достъп до сметки, предпазени с технологията Passkey. Проектиран като по-сигурна опция на паролите, този механизъм съхранява частен ключ на устройството на потребителя и разрешава влизане благодарение на ПИН-код, Face ID или пръстов отпечатък.
Големи софтуерни компании, в това число Microsoft, Amazon и Гугъл, нападателно внедряват Passkey, тъй като е резистентен на фишинг и, за разлика от паролите, не може да бъде откраднат посредством подправен уеб страница. Атаката не визира криптографията на самия ключ, а употребява уязвимости в браузърната среда, като манипулира процеса на засвидетелствуване на WebAuthn — стандартът, на който е основан Passkey. Хакерите могат да фалшифицират процеса на регистрация и влизане, като инжектират злоумишлен JavaScript посредством накърнимост в уеб страницата или употребяват злонамерено уголемение за браузър, съгласно Шуря Пратап Сингх, водещ инженер в SquareX.
Както изяснява SecurityWeek, сполучливата офанзива изисква жертвата да бъде уверена да конфигурира злонамерено уголемение, маскирано като потребен инструмент, или да употребява накърнимост на целевия уебсайт, като да вземем за пример XSS (междусайтов скриптинг) неточност. След това атакуващият може да прехване процеса на регистрация с Passkey или да принуди системата да премине към идентификация с ключова дума, с цел да открадне идентификационни данни. Всъщност, жертвата би трябвало единствено да посети уебсайт, който употребява Passkey с конфигурирано злонамерено уголемение, или да получи достъп до запас с накърнимост за внедряване на код — не се изискват спомагателни дейности.
Това изобретение акцентира рисковете за сигурността, свързани с браузър разширенията и уязвимостите от страна на клиента, даже при потребление на модерни способи за засвидетелствуване. Въпреки че Passkey остава по-сигурна технология от паролите, нейната сигурност зависи от вярното внедряване на WebAuthn и неналичието на компрометиращи фактори в обкръжението на потребителя.
