Passkey-sårbarheden, der blev afsløret på DEF CON 2025, viser, at angribere kan kapre godkendelse gennem kompromitterede browsere. Fejlen udfordrer opfattelsen af, at passkeys giver ubrydelig sikkerhed.
Sådan fungerer angrebet
Passkeys bygger på private nøgler, der lagres på enheder og låses op med biometri eller PIN-koder. De er designet til at eliminere phishing og tyveri af adgangskoder. Browsere fungerer dog som mellemled mellem brugere og servere. Når dette lag kompromitteres, fejler systemet.
Forskere fra SquareX viste, at angribere kan manipulere browsere med ondsindede udvidelser eller injicerede scripts. Disse værktøjer giver angribere mulighed for at forfalske passkey-registrering eller godkendelse. For offeret ser alt normalt ud. Angribere omgår biometri uden at vække mistanke.
Hvorfor dette er vigtigt
Passkeys er blevet promoveret som et sikkert alternativ til adgangskoder. Store platforme har hurtigt taget dem i brug. Denne sårbarhed viser, at de ikke er uovervindelige. Selv avanceret kryptering kan ikke beskytte brugere, når angribere kaprer browsergrænsefladen.
Traditionelle forsvar som Endpoint Detection and Response (EDR) eller Secure Access Service Edge (SASE) kan ofte ikke opdage sådanne angreb. SquareX anbefaler et nyt lag af forsvar kaldet Browser Detection and Response (BDR). Dette værktøj skal overvåge browseraktivitet for mistænkelig manipulation.
Bredere konsekvenser
Opdagelsen har rystet tilliden til adgangskodeløs godkendelse. Virksomheder, der skynder sig at indføre passkeys, må nu håndtere browseren som et svagt punkt. For brugere betyder det, at man fortsat bør kombinere passkeys med stærk enhedssikkerhed og forsigtig brug af udvidelser.
Konklusion
Passkey-sårbarheden, der blev afsløret på DEF CON 2025, viser, at ingen sikkerhedsmetode er fejlfri. Angribere udnytter hurtigt oversete lag som browsere. I takt med at passkeys bliver mere udbredt, må virksomheder styrke browserforsvaret for at opretholde tilliden til adgangskodeløs godkendelse.
0 svar til “Passkey-browser sårbarhed afsløret på DEF CON 2025”