В последнее время многие онлайн-сервисы, такие как банки, интернет-магазины, социальные сети и платформы для разработки ПО, начали использовать технологию Passkey для защиты аккаунтов вместо традиционных паролей.
Passkey – это технология аутентификации, основанная на криптографических ключах, хранящихся на устройстве. В отличие от обычных паролей, парольные ключи Passkey обеспечивают наивысший уровень безопасности, так как они уникальны для каждого устройства и аккаунта. Их трудно подобрать или подделать, а ещё они защищены от фишинга, поскольку привязаны к конкретному сайту или сервису.
Тем не менее, несмотря на все преимущества технологии Passkey, по словам исследователя Джо Стюарта из eSentire, все эти меры безопасности не защищают от атак типа Adversary-in-the-Middle (AitM), которые могут с лёгкостью обойти Passkey-аутентификацию.
Проблема заключается не в самих Passkey, а в их реализации и необходимости в запасных вариантах аутентификации. Множество сайтов предлагают менее безопасные способы восстановления аккаунта в случае утери Passkey или устройства.
В свою очередь, в ходе AitM-атаки злоумышленники могут воспользоваться этим, например, изменив внешний вид экрана авторизации в тот или иной сервис, чтобы пользователю вообще не предоставлялся выбор аутентификации через Passkey.
Собственно, так и устроены AitM-атаки: злоумышленники “вклиниваются” между пользователем и легитимным сайтом, к которому он пытается получить доступ, модифицируя HTML, CSS и JavaScript на странице входа. Это позволяет им контролировать процесс аутентификации и удалять любые упоминания Passkey, оставляя только менее безопасные варианты, которые можно легко перехватить.
Стюарт из eSentire даже привёл реальный пример, где использовал программное обеспечение
Evilginx способен обойти множество средств защиты, включая двухфакторную аутентификацию (2FA), благодаря своей способности перехватывать и повторно использовать сеансовые cookie. Этот инструмент может быть использован для проведения целенаправленных атак на пользователей в сети, и поэтому он представляет угрозу для безопасности в сети Интернет.