Sårbarheten i passkey-webbläsare som avslöjades på DEF CON 2025 visar att angripare kan kapa autentisering genom komprometterade webbläsare. Felet utmanar uppfattningen att passkeys erbjuder obrytbar säkerhet.
Så fungerar attacken
Passkeys bygger på privata nycklar som lagras på enheter och låses upp med biometri eller PIN-koder. De är utformade för att eliminera nätfiske och lösenordsstöld. Webbläsare fungerar dock som mellanhänder mellan användare och servrar. När detta lager komprometteras fallerar systemet.
Forskare från SquareX visade att angripare kan manipulera webbläsare med skadliga tillägg eller injicerade skript. Dessa verktyg gör det möjligt för angripare att förfalska passkey-registrering eller autentisering. För offret ser allt normalt ut. Angripare kringgår biometrik utan att väcka misstankar.
Varför detta är viktigt
Passkeys har marknadsförts som ett säkert alternativ till lösenord. Stora plattformar har snabbt tagit dem i bruk. Denna sårbarhet visar att de inte är oövervinnerliga. Även avancerad kryptering kan inte skydda användare när angripare kapar webbläsargränssnittet.
Traditionella försvar som Endpoint Detection and Response (EDR) eller Secure Access Service Edge (SASE) kan ofta inte upptäcka sådana attacker. SquareX rekommenderar ett nytt skyddslager kallat Browser Detection and Response (BDR). Detta verktyg skulle övervaka webbläsaraktivitet för misstänkt manipulation.
Bredare konsekvenser
Upptäckten har skakat förtroendet för lösenordsfri autentisering. Företag som skyndar sig att införa passkeys måste nu hantera webbläsaren som en svag punkt. För användare innebär detta att man fortsatt bör kombinera passkeys med stark enhetssäkerhet och försiktig användning av tillägg.
Slutsats
Sårbarheten i passkey-webbläsare som avslöjades på DEF CON 2025 visar att ingen säkerhetsmetod är felfri. Angripare utnyttjar snabbt förbisedda lager som webbläsare. I takt med att passkeys blir mer utbredda måste företag stärka webbläsarförsvaret för att upprätthålla förtroendet för lösenordsfri autentisering.
0 svar till ”Sårbarhet i passkey-webbläsare avslöjad på DEF CON 2025”