Pesquisadores de segurança da SquareX demonstraram um método de ataque na conferência anual Def Con que permite que invasores acessem contas protegidas pela tecnologia Passkey. Projetado como uma alternativa mais segura às senhas, esse mecanismo armazena uma chave privada no dispositivo do usuário e permite o login usando um código PIN, Face ID ou impressão digital.
Fonte da imagem: AI
Grandes empresas de tecnologia, incluindo Microsoft, Amazon e Google, estão implementando agressivamente o Passkey porque ele é resistente a phishing e, ao contrário de senhas, não pode ser roubado por meio de um site falso. O ataque não afeta a criptografia da chave em si, mas explora vulnerabilidades no ambiente do navegador, manipulando o processo de autenticação do WebAuthn, o padrão no qual o Passkey se baseia. Hackers podem falsificar o processo de registro e login injetando JavaScript malicioso por meio de uma vulnerabilidade no site ou usando uma extensão maliciosa do navegador, de acordo com Shourya Pratap Singh, engenheiro-chefe da SquareX.
Como explica a SecurityWeek, um ataque bem-sucedido exige que a vítima seja convencida a instalar uma extensão maliciosa disfarçada de ferramenta útil ou a explorar uma vulnerabilidade no site alvo, como um bug de XSS (cross-site scripting). O invasor pode então interceptar o processo de registro do Passkey ou forçar o sistema a mudar para autenticação por senha para roubar credenciais. Na verdade, a vítima só precisa visitar um site que use o Passkey com uma extensão maliciosa instalada ou acessar um recurso com uma vulnerabilidade para injeção de código – nenhuma ação adicional é necessária.
Esta descoberta destaca os riscos de segurança associados a extensões de navegador e vulnerabilidades do lado do cliente, mesmo com o uso de métodos de autenticação modernos. Embora o Passkey continue sendo uma tecnologia mais segura do que senhas, sua segurança depende da implementação correta do WebAuthn e da ausência de fatores comprometedores no ambiente do usuário.
A geografia dos táxis autônomos da Waymo está em constante expansão, e esses veículos estão…
Embora não seja o vizinho mais próximo da Terra, Marte há muito tempo atrai a…
Como vocês sabem, este ano a Intel intrigou os investidores com a afirmação de que…
Rumores de que a OpenAI está planejando lançar um chip para acelerar os cálculos de…
Para o atual presidente dos EUA, Donald Trump, as taxas alfandegárias se tornaram a principal…
O vizinho do norte dos Estados Unidos tornou-se o primeiro país a receber implantes cerebrais…