CISO di SlowMist: l'accesso tramite chiave WebAuthn presenta gravi rischi per la sicurezza

Secondo ChainCatcher, il responsabile della sicurezza delle informazioni di SlowMist, 23pds, ha pubblicato su X una dichiarazione riguardante un nuovo tipo di attacco di bypass della chiave di accesso WebAuthn. Gli aggressori possono sfruttare estensioni del browser dannose o vulnerabilità XSS nei siti web per intercettare l'API WebAuthn, forzando il downgrade all'accesso tramite password o manipolando il processo di registrazione della chiave per rubare le credenziali. Questo attacco può essere eseguito senza contatto fisico con il dispositivo o accesso alle funzionalità biometriche.

WebAuthn è uno standard di autenticazione Web importante sviluppato dal W3C e dalla FIDO Alliance, che supporta diversi metodi di autenticazione come chiavi hardware e dati biometrici, ed è attualmente ampiamente utilizzato per l'accesso sicuro ai siti web. Si consiglia alle aziende e agli utenti interessati di prestare tempestiva attenzione a questo rischio di sicurezza.