Открит е прост начин за заобикаляне на усъвършенстваната технология за удостоверяване Passkey
Криптографските ключове се оказаха безсилни пред изобретателността на хакерите...
Емил Василев 18:24 | 03.07.2024 0 СподелиНай-четени
IT НовиниСветослав Димитров - 14:38 | 01.07.2024200 пъти по-добри от слънчевите панели: чудотворни сфери обезпечават сила даже от изкуствена светлина
IT НовиниЕмил Василев - 13:24 | 01.07.2024Жител на Съединени американски щати съди съседката си поради отвод да му даде паролата за Wi-Fi мрежата си
IT НовиниЕмил Василев - 22:39 | 02.07.2024На жена, спечелила $43,000,000 $ в казино беше препоръчана вечеря с пържола вместо облагата ѝ
Емил Василевhttps://www.kaldata.com/Напоследък доста онлайн услуги като банки, онлайн магазини, обществени мрежи и платформи за разработка на програмен продукт започнаха да употребяват технологията Passkey за отбрана на сметките вместо обичайните пароли.
Passkey е технология за засвидетелствуване, която се основава на криптографски ключове, съхранявани на устройството. За разлика от обичайните пароли, Passkey обезпечават най-високо равнище на сигурност, защото са неповторими за всяко устройство и акаунт.
Трудно е да бъдат разрушени или подправени, а също така са предпазени от фишинг, защото са свързани с съответен уебсайт или услуга. Въпреки преимуществата на технологията Passkey, съгласно откривателя Джо Стюарт от eSentire тези ограничения за сигурност не пазят от офанзиви Adversary-in-the-Middle (AitM), които елементарно могат да заобиколят удостоверяването с Passkey.
Adversary-in-the-Middle (AitM) е офанзива, при която хакерът се вмъква сред две устройства или системи в мрежата, с цел да прихване, модифицира или да се намеси в предаването на данни сред тях.
Проблемът не е в самата технология Passkey, а в нейното използване и нуждата от аварийни разновидности за засвидетелствуване. Много уеб сайтове оферират по-малко сигурни способи за възобновяване на акаунт при загуба на Passkey или устройство.
На собствен ред, по време на AitM офанзива нападателите могат да се възползват от това, като да вземем за пример трансформират външния тип на екрана за засвидетелствуване за дадена услуга, тъй че на потребителя въобще да не бъде възложен избор за засвидетелствуване посредством Passkey.
Как работят AitM офанзивите
Хакерът се „ промъква “ сред потребителя и законния уебсайт, до който се пробва да получат достъп, като трансформира HTML, CSS и JavaScript на страницата за вход. Това му разрешава да управлява процеса на засвидетелствуване и да отстрани всяко споменаване на Passkey, като остави единствено по-малко сигурните разновидности, които могат елементарно да бъдат прихванати.
Експертът от eSentire даже даде действителен образец, в който употребява софтуера Evilginx, с цел да модифицира страницата за вход в GitHub, като отстрани опцията за влизане с Passkey, принуждавайки потребителя да вкара обичайно потребителско име и ключова дума. Той също по този начин означи, че казусът визира освен GitHub и Microsoft, само че и множеството огромни търговци на дребно и облачни услуги.
Изследователят акцентира, че офанзивата посредством редактиране на страници за вход не е директна накърнимост на Passkey. Подобни офанзиви по-скоро са показателни за незрялостта на методите за засвидетелствуване като цяло. Много консуматори не са осведомени с Passkey и може да не разпознаят манипулирането на страницата за вход. В същото време разработчиците може да не са наясно по какъв начин AitM офанзивите трансформират външния тип на страницата за вход.
За възстановяване на сигурността той предлага потреблението на Magic Link за възобновяване на достъпа до акаунта, когато на електронната поща на потребителя се изпрати неповторима краткотрайна връзка, която му разрешава да влезе автоматизирано, без да взаимодейства с фишинг прозорец за въвеждане на данни.
