كبير مسؤولي أمن المعلومات في SlowMist: تسجيل الدخول بمفتاح WebAuthn ينطوي على مخاطر أمنية كبيرة

أفاد ChainCatcher أن مسؤول أمن المعلومات في SlowMist، 23pds، نشر على منصة X حول طريقة هجوم جديدة لتجاوز تسجيل الدخول بمفتاح WebAuthn. يمكن للمهاجمين من خلال امتداد متصفح ضار أو ثغرة XSS في الموقع اختطاف واجهة برمجة تطبيقات WebAuthn، مما يتيح لهم فرض الرجوع إلى تسجيل الدخول بكلمة مرور أو التلاعب بعملية تسجيل المفتاح لسرقة بيانات الاعتماد. لا يتطلب هذا الهجوم أي اتصال مادي بالجهاز أو الوصول إلى ميزات القياسات الحيوية.

WebAuthn هو معيار مصادقة ويب مهم وضعته W3C وFIDO Alliance، ويدعم مفاتيح الأجهزة والقياسات الحيوية وغيرها من طرق المصادقة، ويُستخدم حالياً على نطاق واسع في تسجيل الدخول الآمن للمواقع. يُنصح المؤسسات والمستخدمين المعنيين بمتابعة هذا الخطر الأمني في الوقت المناسب.