Pesquisadores de segurança da SquareX demonstraram um método de ataque na conferência anual Def Con que permite que invasores acessem contas protegidas pela tecnologia Passkey. Projetado como uma alternativa mais segura às senhas, esse mecanismo armazena uma chave privada no dispositivo do usuário e permite o login usando um código PIN, Face ID ou impressão digital.
Fonte da imagem: AI
Grandes empresas de tecnologia, incluindo Microsoft, Amazon e Google, estão implementando agressivamente o Passkey porque ele é resistente a phishing e, ao contrário de senhas, não pode ser roubado por meio de um site falso. O ataque não afeta a criptografia da chave em si, mas explora vulnerabilidades no ambiente do navegador, manipulando o processo de autenticação do WebAuthn, o padrão no qual o Passkey se baseia. Hackers podem falsificar o processo de registro e login injetando JavaScript malicioso por meio de uma vulnerabilidade no site ou usando uma extensão maliciosa do navegador, de acordo com Shourya Pratap Singh, engenheiro-chefe da SquareX.
Como explica a SecurityWeek, um ataque bem-sucedido exige que a vítima seja convencida a instalar uma extensão maliciosa disfarçada de ferramenta útil ou a explorar uma vulnerabilidade no site alvo, como um bug de XSS (cross-site scripting). O invasor pode então interceptar o processo de registro do Passkey ou forçar o sistema a mudar para autenticação por senha para roubar credenciais. Na verdade, a vítima só precisa visitar um site que use o Passkey com uma extensão maliciosa instalada ou acessar um recurso com uma vulnerabilidade para injeção de código – nenhuma ação adicional é necessária.
Esta descoberta destaca os riscos de segurança associados a extensões de navegador e vulnerabilidades do lado do cliente, mesmo com o uso de métodos de autenticação modernos. Embora o Passkey continue sendo uma tecnologia mais segura do que senhas, sua segurança depende da implementação correta do WebAuthn e da ausência de fatores comprometedores no ambiente do usuário.
\nA semana passada se tornou uma das mais malsucedidas para os fabricantes de semicondutores desde…
\nO Centro de Ciências Computacionais do Instituto de Pesquisa Física e Química do Japão (Centro…
\nÀ medida que a inteligência artificial muda o cenário do mercado de segurança cibernética, a…
A fabricante japonesa de chips de memória Kioxia deve pagar à operadora de satélite Viasat…
Os Estados Unidos queriam obter uma parte dos enormes lucros das empresas sul-coreanas de semicondutores…
\nNa seção japonesa da loja online da Apple, os preços dos smartphones aumentaram – isso…