Известный исследователь в области кибербезопасности Тоби Риги провел
Несмотря на успех атаки, Риги подчеркнул, что Passkey остаются значительно более безопасным методом аутентификации по сравнению с традиционными паролями и даже многофакторной аутентификацией (MFA). Однако его исследование подтвердило, что и у Passkey есть свои слабые места, хотя их эксплуатация требует сложных условий и специальных знаний.
Атака Риги основывалась на использовании аппаратного устройства, скрытого в зоне действия Bluetooth LE (до 100 метров). Злоумышленник мог использовать, например, Raspberry Pi, спрятанный в рюкзаке, чтобы запустить локальный веб-сервер и инициировать процесс аутентификации через Passkey. В одном из сценариев атакующий создавал мошенническую точку доступа Wi-Fi в общественном месте, например, в аэропорту. Жертва, подключаясь к сети, видела страницу авторизации через соцсети, где предлагалось использовать Passkey. Затем устройство злоумышленника отправляло запрос WebAuthn от имени пользователя.
Риги также обнаружил, что QR-код, используемый для аутентификации, можно обойти, извлекая из него ссылку FIDO:/ и перенаправляя жертву на неё. Это позволяло злоумышленнику получить доступ к учетной записи пользователя без его ведома. Основная проблема заключалась в том, что ссылки FIDO:/ были навигационными, что делало возможным обход сканирования QR-кода.
Исследование Риги подчеркивает важность постоянного совершенствования систем безопасности, даже таких передовых, как Passkey. Хотя их взлом требует значительных усилий и специфических условий, работа Риги напоминает, что ни одна технология не является абсолютно неуязвимой.
Ссылка скрыта от гостей
успешную атаку на систему Passkey, выявив уязвимость в мобильных браузерах. Уязвимость, зарегистрированная под номером CVE-2024-9956, уже устранена в основных браузерах: Chrome и Edge получили обновления в октябре 2024 года, Safari — в январе 2025 года, а Firefox — в феврале 2025 года.Несмотря на успех атаки, Риги подчеркнул, что Passkey остаются значительно более безопасным методом аутентификации по сравнению с традиционными паролями и даже многофакторной аутентификацией (MFA). Однако его исследование подтвердило, что и у Passkey есть свои слабые места, хотя их эксплуатация требует сложных условий и специальных знаний.
Атака Риги основывалась на использовании аппаратного устройства, скрытого в зоне действия Bluetooth LE (до 100 метров). Злоумышленник мог использовать, например, Raspberry Pi, спрятанный в рюкзаке, чтобы запустить локальный веб-сервер и инициировать процесс аутентификации через Passkey. В одном из сценариев атакующий создавал мошенническую точку доступа Wi-Fi в общественном месте, например, в аэропорту. Жертва, подключаясь к сети, видела страницу авторизации через соцсети, где предлагалось использовать Passkey. Затем устройство злоумышленника отправляло запрос WebAuthn от имени пользователя.
Риги также обнаружил, что QR-код, используемый для аутентификации, можно обойти, извлекая из него ссылку FIDO:/ и перенаправляя жертву на неё. Это позволяло злоумышленнику получить доступ к учетной записи пользователя без его ведома. Основная проблема заключалась в том, что ссылки FIDO:/ были навигационными, что делало возможным обход сканирования QR-кода.
Исследование Риги подчеркивает важность постоянного совершенствования систем безопасности, даже таких передовых, как Passkey. Хотя их взлом требует значительных усилий и специфических условий, работа Риги напоминает, что ни одна технология не является абсолютно неуязвимой.
Последнее редактирование:
