Pesquisadores de segurança da SquareX demonstraram um método de ataque na conferência anual Def Con que permite que invasores acessem contas protegidas pela tecnologia Passkey. Projetado como uma alternativa mais segura às senhas, esse mecanismo armazena uma chave privada no dispositivo do usuário e permite o login usando um código PIN, Face ID ou impressão digital.

Fonte da imagem: AI

Grandes empresas de tecnologia, incluindo Microsoft, Amazon e Google, estão implementando agressivamente o Passkey porque ele é resistente a phishing e, ao contrário de senhas, não pode ser roubado por meio de um site falso. O ataque não afeta a criptografia da chave em si, mas explora vulnerabilidades no ambiente do navegador, manipulando o processo de autenticação do WebAuthn, o padrão no qual o Passkey se baseia. Hackers podem falsificar o processo de registro e login injetando JavaScript malicioso por meio de uma vulnerabilidade no site ou usando uma extensão maliciosa do navegador, de acordo com Shourya Pratap Singh, engenheiro-chefe da SquareX.

Como explica a SecurityWeek, um ataque bem-sucedido exige que a vítima seja convencida a instalar uma extensão maliciosa disfarçada de ferramenta útil ou a explorar uma vulnerabilidade no site alvo, como um bug de XSS (cross-site scripting). O invasor pode então interceptar o processo de registro do Passkey ou forçar o sistema a mudar para autenticação por senha para roubar credenciais. Na verdade, a vítima só precisa visitar um site que use o Passkey com uma extensão maliciosa instalada ou acessar um recurso com uma vulnerabilidade para injeção de código – nenhuma ação adicional é necessária.

Esta descoberta destaca os riscos de segurança associados a extensões de navegador e vulnerabilidades do lado do cliente, mesmo com o uso de métodos de autenticação modernos. Embora o Passkey continue sendo uma tecnologia mais segura do que senhas, sua segurança depende da implementação correta do WebAuthn e da ausência de fatores comprometedores no ambiente do usuário.

admin

Postagens recentes

Os investidores duvidaram do boom da IA ​​- as ações dos fabricantes de chips caíram

\nA semana passada se tornou uma das mais malsucedidas para os fabricantes de semicondutores desde…

28 minutos atrás

Para IA e para “quants”: supercomputadores RIKYU e ROQUO baseados em NVIDIA GB200 NVL4 entraram em operação no Japão

\nO Centro de Ciências Computacionais do Instituto de Pesquisa Física e Química do Japão (Centro…

28 minutos atrás

A Microsoft está desenvolvendo o Project Perception, sua resposta aos mitos antrópicos

\nÀ medida que a inteligência artificial muda o cenário do mercado de segurança cibernética, a…

52 minutos atrás

Os EUA queriam “sua parte” nos lucros excessivos dos fabricantes de chips coreanos

Os Estados Unidos queriam obter uma parte dos enormes lucros das empresas sul-coreanas de semicondutores…

4 horas atrás

A Apple aumentou os preços do iPhone, mas até agora apenas no Japão

\nNa seção japonesa da loja online da Apple, os preços dos smartphones aumentaram – isso…

4 horas atrás