Сегодня 07 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры научились обходить защиту Passkey с помощью вредоносных скриптов и расширений

Специалисты по безопасности из компании SquareX на ежегодной конференции Def Con продемонстрировали метод атаки, позволяющий злоумышленникам получить доступ к аккаунтам, защищённым технологией Passkey. Этот механизм, разработанный как более безопасная альтернатива паролям, хранит закрытый ключ на устройстве пользователя и позволяет входить в систему с помощью PIN-кода, Face ID или отпечатка пальца.

 Источник изображения: AI

Источник изображения: AI

Крупные технологические компании, включая Microsoft, Amazon и Google, активно внедряют Passkey, поскольку он устойчив к фишингу и, в отличие от паролей, его нельзя украсть через поддельный сайт. Атака не затрагивает криптографию самого ключа, но использует уязвимости в браузерной среде, манипулируя процессом аутентификации WebAuthn — стандарта, на котором основана работа Passkey. По словам Шоурии Пратапа Сингха (Shourya Pratap Singh), ведущего инженера SquareX, хакеры могут подменить процесс регистрации и входа, внедрив вредоносный JavaScript через уязвимость на сайте или с помощью вредоносного расширения для браузера.

Как поясняет портал SecurityWeek, для успешной атаки необходимо убедить жертву установить вредоносное расширение, замаскированное под полезный инструмент, либо воспользоваться уязвимостью на целевом сайте, например, XSS-багом (межсайтовый скриптинг). После этого атакующий может перехватить процесс регистрации Passkey или заставить систему переключиться на аутентификацию по паролю, чтобы украсть учётные данные. По факту жертве достаточно просто посетить сайт, на котором используется Passkey, с установленным вредоносным расширением или попасть на ресурс с уязвимостью для внедрения кода — дополнительные действия не требуются.

Это открытие подчёркивает риски, связанные с безопасностью браузерных расширений и клиентских уязвимостей, даже при использовании современных методов аутентификации. Хотя Passkey остаётся более защищённой технологией по сравнению с паролями, его безопасность зависит от корректной реализации WebAuthn и отсутствия компрометирующих факторов в окружении пользователя.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
NVIDIA потратит $1,5 млрд на аренду собственных ИИ-ускорителей у Lambda, в которую сама же и инвестировала 2 ч.
Семейство iPhone 17 окажется на 3,5 % популярнее предшествующего, как считают эксперты TrendForce 3 ч.
Tesla теперь называет свой автопилот «почти полным» 4 ч.
OnePlus и Hasselblad разорвали сотрудничество в сфере технологий обработки фото 4 ч.
Bose обновила полноразмерные наушники QuietComfort Ultra — цена не изменилась 7 ч.
Совокупная капитализация лидеров технологического рынка достигла $21 трлн — активнее других вырос Google 9 ч.
В Индии представили первый 32-битный процессор Vikram 3201 — его разработали и произвели на территории страны 10 ч.
Трамп собрал с глав бигтехов обещания гигантских инвестиций в обмен на доступную энергию для дата-центров 11 ч.
Утечка раскрыла дизайн супертонкого Samsung Galaxy S26 Edge, который выйдет в начале 2026 года 12 ч.
Broadcom получила нового клиента с заказом на $10 млрд — акции взлетели на 15 % 13 ч.