CISO của SlowMist: Đăng nhập bằng khóa WebAuthn tồn tại rủi ro bảo mật nghiêm trọng
Theo ChainCatcher, Giám đốc An ninh Thông tin của SlowMist, 23pds, đã đăng trên nền tảng X rằng có một phương thức tấn công mới nhằm vượt qua đăng nhập bằng khóa WebAuthn. Kẻ tấn công có thể sử dụng tiện ích mở rộng trình duyệt độc hại hoặc khai thác lỗ hổng XSS trên website để chiếm quyền kiểm soát API WebAuthn, từ đó buộc hạ cấp sang đăng nhập bằng mật khẩu hoặc sửa đổi quy trình đăng ký khóa để đánh cắp thông tin xác thực. Cuộc tấn công này không cần tiếp xúc vật lý với thiết bị hoặc truy cập chức năng sinh trắc học.
WebAuthn là tiêu chuẩn xác thực Web quan trọng do W3C và FIDO Alliance xây dựng, hỗ trợ nhiều phương thức xác thực như khóa phần cứng, sinh trắc học và hiện đang được ứng dụng rộng rãi trong đăng nhập an toàn trên website. Các doanh nghiệp và người dùng liên quan được khuyến nghị nên chú ý kịp thời đến rủi ro bảo mật này.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Chỉ số đô la Mỹ giảm 0,31% vào ngày 22
BTC giảm xuống dưới 112,000 USD
Giá tiền điện tử
Thêm
