Во многих иностранных популярных банковских сервисах, онлайн-магазинах, соцсетях и платформах для разработки ПО применяется технология Passkey, обеспечивающая защиту учётных записей вместо традиционных паролей.
Эта технология аутентификации функционирует на основе криптографических ключей, хранящихся на пользовательском устройстве. В отличие от традиционных учётных данных, парольные ключи Passkey обеспечивают высокую степень безопасности, потому как они уникальны для каждого устройства и учётной записи. Злоумышленникам их сложно подобрать и подделать. Помимо этого, они имеют защиту от фишинговых атак, так как обладают привязкой к определённому ресурсу или платформе.
Специалист по информационной безопасности Джо Стюарт из eSentire выяснил, что все меры безопасности технологии Passkey не способны защитить от атак типа Adversary-in-the-Middle (AitM), с помощью которых злоумышленники могут обходить Passkey-аутентификацию.
Причём проблема заключается не в самой технологии, а в её реализации и необходимости наличия запасных вариантов аутентификации на отдельных сайтах и платформах. Здесь имеется в виду то, что многие ресурсы предлагают своим пользователям менее безопасные способы восстановления доступа к учётной записи в том случае, если они утратят Passkey или перейдут на другое устройство.
Во время проведения AitM-атак киберпреступники имеют возможность изощрённо обмануть пользователей, к примеру, изменив внешний вид экрана авторизации в том или ином сервисе, чтобы человеку вообще не предоставлялся выбор аутентификации с помощью Passkey.
Именно на таком подходе строятся AitM-атаки, когда хакеры стараются вклиниться между пользователем и сервисом, к которому человек пытается получить доступ. Для этого злоумышленники модифицируют HTML, CSS и JavaScript на странице авторизации. В таком случае хакеры получают контроль над процедурой аутентификации и стирают все упоминания технологии Passkey на странице, оставляя пользователю на выбор менее безопасный вариант.
Джо Стюарт наглядно продемонстрировал, как работает такая атака с помощью специального софта Evilginx. Он изменил внешний вид страницы авторизации платформы GitHub, убрав оттуда строчку «Войти с помощью Passkey», из-за чего пользователю требовалось просто вводить обычный логин и пароль. Мистер Стюарт также рассказал, что подобная проблема касается не только популярных площадок, таких как GitHub или Microsoft, но и сервисов огромного количества ритейлеров и облачных платформ.
Джо Стюарт также указал на то, что проведение такой атаки силами злоумышленников нельзя рассматривать в качестве прямой уязвимости технологии Passkey, так как подобные кибервмешательства явно указывают на незрелостьсовременных методов аутентификации в целом. Также стоит понимать, что большинство пользователей вовсе не знакомы с технологией Passkey и в принципе не способны увидеть какие-либо манипуляции на странице авторизации.
Ещё по теме: