慢霧CISO：WebAuthn密鑰登錄存在繞過風險

據慢霧科技首席信息安全官23pds在X平台發文稱，研究人員發現一種可繞過基於WebAuthn密鑰登錄的新型攻擊。攻擊者可通過惡意瀏覽器擴展或利用網站的XSS漏洞劫持WebAuthn API，從而強制降級為密碼登錄或篡改密鑰注冊流程以竊取用戶憑據。該攻擊無需訪問設備或Face ID，受害者在存在惡意擴展或漏洞的網站上使用密鑰登錄時可能會遭遇身份冒充，導致賬戶被攻破。

WebAuthn（Web Authentication）是由W3C和FIDO聯盟制定的一項Web標准，旨在通過公鑰密碼學實現安全認證，替代或補充傳統密碼。用戶可使用硬件安全密鑰（如YubiKey）、內置平台認證器（如Windows Hello、Touch ID、Android生物識別）或符合FIDO2標准的設備完成登錄