За гранью QR: хакер обошел защиту «непобедимого» Passkey
NewsMakerЭксперимент, заставивший IT-гигантов срочно латать свои браузеры.
Исследователь безопасности Тоби Риги впервые провел успешную атаку на Passkey, используя исправленную уязвимость в мобильных браузерах.
Обновления безопасности для всех крупных браузеров были выпущены: Chrome и Edge получили исправление в октябре 2024 года, Safari в январе 2025 года, а Firefox в феврале 2025 года. Уязвимость зарегистрирована под номером CVE-2024-9956 (оценка CVSS: ).
Несмотря на успех атаки, исследование Риги показало, что Passkey остаются значительно более безопасными, чем классические логины с паролем и даже многофакторная аутентификация (MFA). Работа Риги также подтвердила, что у Passkey есть свои уязвимости, хотя их эксплуатация сложнее и требует специальных условий по сравнению с традиционными фишинговыми схемами.
Методика атаки требовала физического размещения аппаратного устройства в зоне действия Bluetooth LE (до 100 метров). Злоумышленник мог использовать спрятанный в рюкзаке Raspberry Pi, чтобы запустить локальный веб-сервер и инициировать процесс аутентификации через Passkey.
" frameborder="0" allowfullscreen=""> Исследователь безопасности Тоби Риги впервые провел успешную атаку на Passkey, используя исправленную уязвимость в мобильных браузерах.
Обновления безопасности для всех крупных браузеров были выпущены: Chrome и Edge получили исправление в октябре 2024 года, Safari в январе 2025 года, а Firefox в феврале 2025 года. Уязвимость зарегистрирована под номером CVE-2024-9956 (оценка CVSS: ).
Несмотря на успех атаки, исследование Риги показало, что Passkey остаются значительно более безопасными, чем классические логины с паролем и даже многофакторная аутентификация (MFA). Работа Риги также подтвердила, что у Passkey есть свои уязвимости, хотя их эксплуатация сложнее и требует специальных условий по сравнению с традиционными фишинговыми схемами.
Методика атаки требовала физического размещения аппаратного устройства в зоне действия Bluetooth LE (до 100 метров). Злоумышленник мог использовать спрятанный в рюкзаке Raspberry Pi, чтобы запустить локальный веб-сервер и инициировать процесс аутентификации через Passkey.
В одном из сценариев атакующий разворачивает мошенническую точку доступа Wi-Fi в аэропорту. Потенциальная жертва подключается к сети и видит страницу авторизации через соцсети, где вместо пароля предлагается использовать Passkey. Затем BLE-устройство злоумышленника запускает запрос WebAuthn от имени пользователя.
В нормальном сценарии пользователь должен отсканировать QR-код, но Риги обнаружил, что из QR-кода можно извлечь ссылку FIDO:/ и просто перенаправить жертву на нее, обходя процесс сканирования. В результате пользователь выполняет аутентификацию, фактически позволяя атакующему получить доступ к своей учётной записи.
Основная уязвимость заключалась в том, что ссылки FIDO:/ были навигационные, что позволяло обойти необходимость сканирования QR-кода. И жертва никогда не узнает о промежуточном аппаратном устройстве, которое выполняло прокси-аутентификацию от ее имени.
По сути, это была современная атака MitM/AitM, но реализованная с использованием оборудования и адаптированная к паролям и стандартам FIDO. Риги утверждает, что разработчики браузеров заблокировали навигацию по URI FIDO:/. Это должно предотвратить повторение атаки в данной форме.