CISO da Slow Fog: A autenticação WebAuthn com Chave Secreta apresenta sérios riscos de segurança

Mensagem do ChainCatcher, o responsável pela segurança da informação da Slow Mist 23pds publicou na plataforma X, informando sobre um novo método de ataque de bypass de login com chave WebAuthn. Os atacantes podem sequestrar a API WebAuthn através de extensões de navegador maliciosas ou vulnerabilidades XSS em sites, forçando a degradação para login por senha ou manipulando o processo de registro de chave para roubar credenciais. Este ataque pode ser realizado sem contato físico com o dispositivo ou acesso a funcionalidades biométricas. WebAuthn é um importante padrão de autenticação na Web estabelecido pelo W3C e pela FIDO Alliance, suportando várias formas de autenticação, como chaves de hardware e biometria, e atualmente é amplamente utilizado para login seguro em sites. Recomenda-se que empresas e usuários relevantes fiquem atentos a este risco de segurança.