Passkey-sårbarheten som ble avslørt på DEF CON 2025 viser at angripere kan kapre autentisering gjennom kompromitterte nettlesere. Feilen utfordrer oppfatningen om at passkeys gir ubrytelig sikkerhet.
Slik fungerer angrepet
Passkeys bygger på private nøkler som lagres på enheter og låses opp med biometri eller PIN-koder. De er laget for å eliminere phishing og passordtyveri. Nettlesere fungerer imidlertid som mellommenn mellom brukere og servere. Når dette laget kompromitteres, svikter systemet.
Forskere fra SquareX viste at angripere kan manipulere nettlesere med ondsinnede utvidelser eller injiserte skript. Disse verktøyene lar angripere forfalske passkey-registrering eller autentisering. Fra offerets perspektiv ser alt normalt ut. Angripere kan omgå biometri uten å vekke mistanke.
Hvorfor dette er viktig
Passkeys har blitt fremmet som et sikkert alternativ til passord. Store plattformer har raskt tatt dem i bruk. Denne sårbarheten viser at de ikke er uovervinnelige. Selv avansert kryptering beskytter ikke brukere når angripere kaprer nettlesergrensesnittet.
Tradisjonelle forsvar som Endpoint Detection and Response (EDR) eller Secure Access Service Edge (SASE) oppdager ofte ikke slike angrep. SquareX anbefaler et nytt lag av forsvar kalt Browser Detection and Response (BDR). Dette verktøyet skal overvåke nettleseraktivitet for mistenkelig manipulering.
Brede konsekvenser
Oppdagelsen har svekket tilliten til passordløs autentisering. Selskaper som raskt tar i bruk passkeys, må nå håndtere nettleseren som et svakt punkt. For brukere betyr dette å kombinere passkeys med sterk enhetssikkerhet og forsiktig bruk av utvidelser.
Konklusjon
Passkey-sårbarheten som ble avslørt på DEF CON 2025 viser at ingen sikkerhetsmetode er feilfri. Angripere utnytter raskt oversette lag som nettlesere. Etter hvert som passkeys blir mer utbredt, må selskaper styrke nettleserforsvaret for å opprettholde tilliten til passordløs autentisering.
0 responses to “Passkey-nettlesersårbarhet avslørt på DEF CON 2025”