エンタープライズ向けブラウザセキュリティ企業SquareXの研究者が、パスキーで保護されたアカウントにアクセスするための攻撃手法を実証しました。
パスキーは、パスワードよりも安全な代替手段を提供することを目的として設計されており、ユーザーはデバイスに保存された秘密鍵に基づいてアカウントにログインできます。ユーザーはPIN、顔認証、または指紋認証など、さまざまな認証方法でサインインできます。
パスキーは、Microsoft、Amazon、Googleなどの大手テクノロジー企業によってますます採用・推奨されています。
パスワードとは異なり、パスキーはフィッシング耐性があると考えられており、偽のウェブサイトがユーザーを騙してパスキーを渡させることはできません。
しかし、SquareXの研究者は週末にDEF CONで、特定の状況下ではパスキーがバイパスされる可能性があることを示しました。なお、この攻撃はパスキーの暗号自体を標的にしているわけではなく、パスキーが依存するプロセスを、侵害されたブラウザ環境が操作できる可能性を示しています。
彼らが説明した攻撃は、攻撃者が標的ユーザーになりすまし、Face IDが使用されている場合や攻撃者が実際のデバイスにアクセスできない場合でも、パスキーによるログインセキュリティをバイパスできるというものです。
この攻撃は、パスキーを通じてユーザーがウェブサイトやアプリケーションに認証できるようにする標準規格であるWebAuthnを標的としています。
「パスキーを使ってウェブサイトに登録または認証する際、ウェブサイトはWebAuthn APIを呼び出してブラウザ経由で通信します。この攻撃では、攻撃者がJavaScriptインジェクションを通じてWebAuthn APIを乗っ取り、登録およびログインのフローの両方を偽造します」とSquareXの主任ソフトウェアエンジニア、Shourya Pratap Singh氏はSecurityWeekに語りました。
広告。スクロールして続きをお読みください。
攻撃を実行するには、脅威アクターが標的ユーザーに悪意のあるブラウザ拡張機能をインストールさせる必要があります。例えば、攻撃者は悪意のある拡張機能を有用なツールに見せかけて、拡張機能のリポジトリにアップロードすることができます。
あるいは、JavaScriptインジェクションを許すXSSバグなど、標的ウェブサイトのクライアントサイドの脆弱性を悪用して攻撃を実行することも可能です。
この攻撃は、パスキーの登録および認証プロセスを乗っ取り、操作するものです。ユーザーがすでに標的ウェブサイトに登録している場合、攻撃者はパスキーの登録プロセスを再開させたり、被害者をパスワード認証にダウングレードさせて認証情報を取得したりできます。
「被害者にとっては、パスキーでログインするウェブサイトに悪意のある拡張機能をインストールした状態でアクセスするか、あるいはクライアントサイドのインジェクション脆弱性(例:XSS)がある場合は、直接そのウェブサイトにアクセスするだけで十分です」とSingh氏は説明します。「通常の登録や認証以外に追加のユーザー操作は必要ありません。」
翻訳元: https://www.securityweek.com/passkey-login-bypassed-via-webauthn-process-manipulation/