返回

研究人员发现可绕过基于 WebAuthn 密钥登录的新型漏洞

安全公司慢雾警告称,一种利用恶意扩展或 XSS 劫持 WebAuthn 应用程序接口(API)的攻击方法,可能危及无密码认证系统。

摘要

慢雾安全官 23pds 报告称,一种新型漏洞可通过利用恶意浏览器扩展或 XSS 漏洞绕过 WebAuthn 密钥登录。该攻击会将认证方式降级为密码登录,并篡改密钥注册,使攻击者在无需获取受害者设备或生物识别数据的情况下窃取凭证。该漏洞对存在安全缺陷网站的账户构成重大风险。

术语与概念
  • WebAuthn: 一种使用公钥加密技术进行无密码认证的网络标准,通常涉及硬件安全密钥或生物识别设备。
  • XSS(跨站脚本攻击): 一种网络安全漏洞,允许攻击者在其他用户访问的网页中注入恶意脚本。
  • 浏览器扩展: 用于增加或修改浏览器功能的软件模块,如果为恶意或遭到入侵则可能被利用。