Istraživači iz kompanije za bezbjednost enterprise browser-a SquareX demonstrirali su metodu napada kojom se može dobiti pristup nalogu zaštićenom passkey-jem.
Passkey-ji su osmišljeni da pruže bezbjedniju alternativu lozinkama, omogućavajući korisnicima da se prijave na nalog putem privatnog ključa sačuvanog na uređaju. Korisnici se mogu prijaviti koristeći različite metode autentifikacije, uključujući PIN, prepoznavanje lica ili otisak prsta.
Passkey-ji sve više dobijaju na primjeni i preporučuju ih velike tehnološke kompanije kao što su Microsoft, Amazon i Google.
Za razliku od lozinki, passkey-ji se smatraju otpornim na phishing jer lažni sajt ne može prevariti korisnika da mu preda svoj passkey.
Međutim, istraživači iz SquareX-a pokazali su tokom DEF CON konferencije proteklog vikenda da se u određenim okolnostima passkey može zaobići. Važno je naglasiti da napad ne cilja kriptografiju passkey-ja, već pokazuje mogućnost da kompromitovani browser manipuliše procesom na kojem passkey počiva.
Napad koji su opisali uključuje napadača koji se predstavlja kao ciljani korisnik i zaobilazi passkey prijavu, čak i u situacijama kada se koristi Face ID i haker nema pristup samom uređaju.
Napad cilja WebAuthn, standard koji omogućava korisnicima autentifikaciju na veb sajtove i aplikacije putem passkey-ja.
„Prilikom registracije ili autentifikacije na veb sajtovima koji koriste passkey, sajt komunicira preko browser-a pozivajući WebAuthn API-je. U ovom napadu, napadač falsifikuje i registraciju i login tok preuzimanjem WebAuthn API-ja kroz JavaScript injekciju,“ objasnio je Shourya Pratap Singh, glavni softverski inženjer u SquareX-u.
Da bi izveo napad, haker mora ubijediti ciljanog korisnika da instalira malicioznu ekstenziju za browser. Napadač, na primjer, može prerušiti malicioznu ekstenziju u koristan alat i postaviti je u repozitorijum ekstenzija.
Alternativno, ranjivost na strani klijenta na ciljnom sajtu, poput XSS propusta koji omogućava JavaScript injekciju, može biti iskorišćena za sprovođenje napada.
Napad podrazumijeva preuzimanje i manipulaciju procesima registracije i autentifikacije passkey-ja. Ako je korisnik već registrovan na ciljanom sajtu, napadač može ponovo pokrenuti proces registracije passkey-ja ili može primorati žrtvu da se prebaci na autentifikaciju zasnovanu na lozinki i zatim pribavi akreditive.
„Za žrtvu je dovoljno da posjeti sajt na kojem se prijavljuje putem passkey-ja sa instaliranom malicioznom ekstenzijom, ili da jednostavno posjeti sam sajt ako on sadrži ranjivost na strani klijenta (npr. kroz XSS),“ objasnio je Singh. „Nije potrebna nikakva dodatna interakcija korisnika osim uobičajene registracije i autentifikacije.“
Izvor: SecurityWeek
