WebAuthn Chìa khoá bảo mật đăng nhập tồn tại rủi ro bị bỏ qua Các tiện ích độc hại hoặc XSS có thể chiếm đoạt API

【Khối luật động】Ngày 22 tháng 9, một giám đốc an ninh thông tin của một công ty an ninh thông tin đã đăng bài trên nền tảng xã hội cho biết, hệ thống giám sát đã phát hiện cảnh báo về rủi ro vượt qua đăng nhập bằng chìa khoá bảo mật WebAuthn nổi tiếng. Các nhà nghiên cứu đã phát hiện ra một cuộc tấn công mới có thể vượt qua việc đăng nhập bằng chìa khoá bảo mật WebAuthn, kẻ tấn công có thể thông qua tiện ích mở rộng trình duyệt độc hại hoặc lợi dụng lỗ hổng XSS trên trang web để chiếm đoạt API WebAuthn, từ đó buộc hạ cấp xuống đăng nhập bằng mật khẩu, can thiệp vào quy trình đăng ký chìa khoá để đánh cắp thông tin xác thực.

Cuộc tấn công này không cần truy cập vào thiết bị hoặc Face ID, nạn nhân sử dụng chìa khoá bảo mật để đăng nhập trên các trang web có sự hiện diện của tiện ích độc hại hoặc lỗ hổng tiêm, nghĩa là có thể bị giả mạo danh tính, dẫn đến tài khoản bị xâm nhập.