CISO của Slow Mist: Đăng nhập bằng chìa khoá bảo mật WebAuthn có nguy cơ an ninh nghiêm trọng

Thông báo ChainCatcher, quan chức an ninh thông tin SlowMist 23pds đã đăng bài trên nền tảng X cho biết về phương pháp tấn công vượt qua đăng nhập bằng chìa khoá bảo mật WebAuthn mới. Kẻ tấn công có thể chiếm đoạt API WebAuthn thông qua các tiện ích mở rộng trình duyệt độc hại hoặc lỗ hổng XSS trên trang web, buộc giảm cấp xuống đăng nhập bằng mật khẩu hoặc can thiệp vào quy trình đăng ký chìa khoá để đánh cắp thông tin xác thực. Cuộc tấn công này không cần tiếp xúc vật lý với thiết bị hoặc truy cập vào các chức năng sinh trắc học. WebAuthn là tiêu chuẩn xác thực web quan trọng được W3C và Liên minh FIDO thiết lập, hỗ trợ nhiều phương thức xác thực như chìa khoá phần cứng, sinh trắc học, hiện đang được sử dụng rộng rãi trong đăng nhập an toàn trên các trang web. Khuyến nghị các doanh nghiệp và người dùng liên quan theo dõi kịp thời những rủi ro an ninh này.