Исследователь кибербезопасности Тоби Риги провёл первую успешную атаку на технологию Passkey, используя уязвимость в мобильных браузерах. Обнаруженная проблема, получившая идентификатор CVE-2024-9956, уже устранена в обновлениях Chrome, Edge (октябрь 2024), Safari (январь 2025) и Firefox (февраль 2025).
Passkey vs. пароли: безопасность под вопросом?
Несмотря на успешную демонстрацию атаки, Риги подтвердил, что Passkey остаётся значительно надёжнее традиционных паролей и даже многофакторной аутентификации (MFA). Однако его работа выявила, что даже современные стандарты уязвимы в редких сценариях, требующих физического присутствия злоумышленника и специфических технических условий.
Метод атаки: «железо» вместо фишинга
Для реализации атаки требовалось разместить аппаратное устройство (например, мини-компьютер Raspberry Pi) в радиусе 100 метров от жертвы. В качестве примера Риги описал сценарий с поддельной точкой Wi-Fi в аэропорту: подключившись к сети, пользователь видел страницу авторизации через соцсети, где вместо пароля запрашивался Passkey.
Видео в Telegram: https://t.me/applespbevent_video/77Ключевой слабостью стала возможность извлечь из QR-кода ссылку формата FIDO:/ и перенаправить жертву на неё, минуя сканирование. Это позволяло злоумышленнику инициировать аутентификацию через прокси-устройство, оставаясь незамеченным. Пользователь, выполняя вход, фактически передавал контроль над учётной записью злоумышленнику.
Исправление проблемы и выводы
Разработчики браузеров заблокировали навигацию по URI FIDO:/, что должно предотвратить подобные атаки. По словам Риги, метод представляет собой гибридную MitM/AitM-атаку, адаптированную под стандарты FIDO. Исследование подчёркивает, что даже самые продвинутые системы аутентификации требуют постоянного аудита, а их безопасность зависит от своевременного устранения уязвимостей.
Итог: Несмотря на прогресс, Passkey — не панацея, но их внедрение остаётся шагом вперёд по сравнению с устаревшими методами защиты.
Ещё по теме:
- Приложения для очистки памяти в iPhone приводят к утечке данных
- В сети показали макеты iPhone 17, основанные на «внутренних документах»
- Институт развития интернета предложил создать единую платформу для распространения видеоигр в странах БРИКС
