【ブロック律動】9 月 22 日、ある情報セキュリティ会社の情報セキュリティ責任者がソーシャルプラットフォームで投稿し、監視システムの警告が有名な標準 WebAuthn 秘密鍵ログインに回避リスクがあることを発見したと述べた。研究者たちは、WebAuthn 秘密鍵ログインを回避できる新しい攻撃手法を発見し、攻撃者は悪意のあるブラウザ拡張機能やウェブサイトの XSS 脆弱性を利用して WebAuthn API をハイジャックし、パスワードログインに強制的にダウングレードさせ、秘密鍵登録プロセスを改ざんして認証情報を盗むことができる。この攻撃はデバイスやFace IDにアクセスすることなく、被害者が悪意のある拡張機能や注入脆弱性のあるウェブサイトで秘密鍵を使用してログインすると、身分を偽装され、アカウントが侵害される可能性があります。
WebAuthn秘密鍵ログインにはバイパスリスクがあります。悪意のある拡張機能やXSSがAPIをハイジャックする可能性があります。
【ブロック律動】9 月 22 日、ある情報セキュリティ会社の情報セキュリティ責任者がソーシャルプラットフォームで投稿し、監視システムの警告が有名な標準 WebAuthn 秘密鍵ログインに回避リスクがあることを発見したと述べた。研究者たちは、WebAuthn 秘密鍵ログインを回避できる新しい攻撃手法を発見し、攻撃者は悪意のあるブラウザ拡張機能やウェブサイトの XSS 脆弱性を利用して WebAuthn API をハイジャックし、パスワードログインに強制的にダウングレードさせ、秘密鍵登録プロセスを改ざんして認証情報を盗むことができる。
この攻撃はデバイスやFace IDにアクセスすることなく、被害者が悪意のある拡張機能や注入脆弱性のあるウェブサイトで秘密鍵を使用してログインすると、身分を偽装され、アカウントが侵害される可能性があります。