Сегодня 28 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры научились обходить защиту Passkey с помощью вредоносных скриптов и расширений

Специалисты по безопасности из компании SquareX на ежегодной конференции Def Con продемонстрировали метод атаки, позволяющий злоумышленникам получить доступ к аккаунтам, защищённым технологией Passkey. Этот механизм, разработанный как более безопасная альтернатива паролям, хранит закрытый ключ на устройстве пользователя и позволяет входить в систему с помощью PIN-кода, Face ID или отпечатка пальца.

 Источник изображения: AI

Источник изображения: AI

Крупные технологические компании, включая Microsoft, Amazon и Google, активно внедряют Passkey, поскольку он устойчив к фишингу и, в отличие от паролей, его нельзя украсть через поддельный сайт. Атака не затрагивает криптографию самого ключа, но использует уязвимости в браузерной среде, манипулируя процессом аутентификации WebAuthn — стандарта, на котором основана работа Passkey. По словам Шоурии Пратапа Сингха (Shourya Pratap Singh), ведущего инженера SquareX, хакеры могут подменить процесс регистрации и входа, внедрив вредоносный JavaScript через уязвимость на сайте или с помощью вредоносного расширения для браузера.

Как поясняет портал SecurityWeek, для успешной атаки необходимо убедить жертву установить вредоносное расширение, замаскированное под полезный инструмент, либо воспользоваться уязвимостью на целевом сайте, например, XSS-багом (межсайтовый скриптинг). После этого атакующий может перехватить процесс регистрации Passkey или заставить систему переключиться на аутентификацию по паролю, чтобы украсть учётные данные. По факту жертве достаточно просто посетить сайт, на котором используется Passkey, с установленным вредоносным расширением или попасть на ресурс с уязвимостью для внедрения кода — дополнительные действия не требуются.

Это открытие подчёркивает риски, связанные с безопасностью браузерных расширений и клиентских уязвимостей, даже при использовании современных методов аутентификации. Хотя Passkey остаётся более защищённой технологией по сравнению с паролями, его безопасность зависит от корректной реализации WebAuthn и отсутствия компрометирующих факторов в окружении пользователя.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Google работает над функцией бесшовного переноса приложений между Android и Windows 2 ч.
Подписка xAI Grok обойдётся госслужбам США всего в $0,42 за полтора года 2 ч.
Новая статья: Gamesblender № 745: геймплей Marvel’s Wolverine, ремастер Deus Ex, ремейк Yakuza 3 и хоррор Кодзимы 3 ч.
ИИ-аватар позволяет пообщаться с покойным создателем комиксов о человеке-пауке и героях Marvel 8 ч.
Spotify начнёт маркировать музыку с ИИ и запретит клонированные голоса 10 ч.
Новая статья: Dying Light: The Beast — свобода или клетка? Рецензия 15 ч.
Asus признала подтормаживания геймерских ноутбуков ROG и пообещала скоро всё исправить 21 ч.
Российская платформа для разработки GitFlic дополнилась интеграцией с системами управления проектами 24 ч.
«Фотографии» в Windows 11 научатся автоматически сортировать изображения и распознавать надписи не только на английском 24 ч.
В смартфонах OnePlus обнаружена дыра в безопасности — любое приложение может читать все SMS без разрешения 27-09 13:44
«Зелёная» энергия для «зелёных» ускорителей: Lambda и ECL впервые запитали NVIDIA GB300 NVL72 от водорода 3 ч.
TCL выпустила планшет Tab 8 NxtPaper 5G с 8-дюймовым экраном, похожим на цветную электронную бумагу 3 ч.
У китайских производителей возникли проблемы с созданием скоростной памяти HBM3 8 ч.
Meta хотела бы стать крупным поставщиком ПО для человекоподобных роботов 9 ч.
Oracle взяла на себя ещё $18 млрд долга для расширения бизнеса и строительства ИИ-инфраструктуры 15 ч.
Учёные нашли у Земли седьмую «ложную Луну» — квазиспутник 2025 PN7 18 ч.
Энтузиасты объединили двенадцать dial-up модемов для просмотра YouTube без тормозов 20 ч.
Horizon Fuel Cell представила 3-МВт модуль с водородными топливными элементами для замены дизель-генераторов 23 ч.
Чип с «сосудами»: Microsoft и Corintis вытравили микроканалы для СЖО прямо в кремнии 23 ч.
Учёные запустили самую большую и детальную симуляцию Вселенной — она поможет в поиске тёмных материи и энергии 24 ч.