Сегодня 09 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры научились обходить защиту Passkey с помощью вредоносных скриптов и расширений

Специалисты по безопасности из компании SquareX на ежегодной конференции Def Con продемонстрировали метод атаки, позволяющий злоумышленникам получить доступ к аккаунтам, защищённым технологией Passkey. Этот механизм, разработанный как более безопасная альтернатива паролям, хранит закрытый ключ на устройстве пользователя и позволяет входить в систему с помощью PIN-кода, Face ID или отпечатка пальца.

 Источник изображения: AI

Источник изображения: AI

Крупные технологические компании, включая Microsoft, Amazon и Google, активно внедряют Passkey, поскольку он устойчив к фишингу и, в отличие от паролей, его нельзя украсть через поддельный сайт. Атака не затрагивает криптографию самого ключа, но использует уязвимости в браузерной среде, манипулируя процессом аутентификации WebAuthn — стандарта, на котором основана работа Passkey. По словам Шоурии Пратапа Сингха (Shourya Pratap Singh), ведущего инженера SquareX, хакеры могут подменить процесс регистрации и входа, внедрив вредоносный JavaScript через уязвимость на сайте или с помощью вредоносного расширения для браузера.

Как поясняет портал SecurityWeek, для успешной атаки необходимо убедить жертву установить вредоносное расширение, замаскированное под полезный инструмент, либо воспользоваться уязвимостью на целевом сайте, например, XSS-багом (межсайтовый скриптинг). После этого атакующий может перехватить процесс регистрации Passkey или заставить систему переключиться на аутентификацию по паролю, чтобы украсть учётные данные. По факту жертве достаточно просто посетить сайт, на котором используется Passkey, с установленным вредоносным расширением или попасть на ресурс с уязвимостью для внедрения кода — дополнительные действия не требуются.

Это открытие подчёркивает риски, связанные с безопасностью браузерных расширений и клиентских уязвимостей, даже при использовании современных методов аутентификации. Хотя Passkey остаётся более защищённой технологией по сравнению с паролями, его безопасность зависит от корректной реализации WebAuthn и отсутствия компрометирующих факторов в окружении пользователя.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Переносы, переработки и потеря талантов: сотрудники Bethesda Game Studios предупредили, чем увольнения в студии обернутся для The Elder Scrolls VI 31 мин.
Амбициозный средневековый симулятор The Guild — Europa 1410 не выйдет 16 июля в раннем доступе Steam из-за отзывов о демоверсии 2 ч.
Windows 95 определяла установщики программ по имени файла и надеялась на лучшее 3 ч.
Apple заинтересовалась технологией PrismML для запуска больших ИИ-моделей прямо на смартфоне 3 ч.
Anthropic добавила в Claude статистику использования ИИ и советы по повышению эффективности 3 ч.
Google объявила Anthropic Fable 5 лучшей ИИ-моделью для разработки приложений под Android 3 ч.
Загадочное изменение: Microsoft зачем-то сделала поисковое поле в Windows 11 на четыре пикселя выше 4 ч.
«Алиса» научилась отвечать на вопросы о том, что видят умные IP-камеры «Яндекса» 4 ч.
«Сбер» представил ИИ-сервис для поиска АЗС, на которых скорее всего есть топливо 5 ч.
Полиция почти сотни стран провела операцию против интернет-мошенников — арестовано 5811 человек 5 ч.