慢霧CISO：WebAuthn密鑰登錄存在繞過風險

BlockBeats 消息，9 月 22 日，慢霧信息安全官 23pds 在 X 平臺發文稱，MistEye 預警監測發現知名標準 WebAuthn 密鑰登錄存在繞過風險。研究人員發現一種可繞過基于 WebAuthn 密鑰登錄的新型攻擊，攻擊者可通過惡意瀏覽器擴展或利用網站 XSS 漏洞劫持 WebAuthn API，從而強制降級為密碼登錄、篡改密鑰注冊流程以竊取憑據。該攻擊無需訪問設備或 Face ID，受害者在存在惡意擴展或注入漏洞的網站上使用密鑰登錄，即可能被冒充身份，導致賬戶被攻破。

WebAuthn (Web Authentication) 是由 W3C 和 FIDO 聯盟制定的一項 Web 標準，它讓網站和應用可以通過公鑰密碼學來進行安全的用戶認證。它的目標是替代或補充傳統密碼，讓用戶可以用：

· 硬件安全密鑰（如 YubiKey、Feitian Key 等）；
· 內置平臺認證器（如 Windows Hello、Touch ID、Face ID、Android 生物識別）；
· 任何符合 FIDO2 標準的設備。

• 喜歡使用社交軟體關注？關注我們的 Twitter，或者加入 Telegram！
• 想關注最新資訊？ 下載CoinCarp App吧
• 有新聞需要爆料，官方公告需要發布? 來給我們發郵件吧！[email protected]