TechFlow 소식, 9월 22일, 만무 정보보안 책임자 23pds가 X 플랫폼을 통해 새로운 WebAuthn 키 로그인 우회 공격 방식에 대해 언급했다. 공격자는 악성 브라우저 확장 프로그램이나 웹사이트의 XSS 취약점을 이용해 WebAuthn API를 탈취하여 강제로 비밀번호 로그인으로 다운그레이드하거나 키 등록 과정을 조작함으로써 인증 정보를 탈취할 수 있다. 이 공격은 물리적으로 기기에 접근하거나 생체인식 기능에 접속하지 않고도 수행 가능하다.
WebAuthn은 W3C와 FIDO 얼라이언스가 제정한 중요한 웹 인증 표준으로, 하드웨어 키 및 생체인식 등 다양한 인증 방식을 지원하며 현재 웹사이트 보안 로그인에 널리 사용되고 있다. 관련 기업과 사용자들은 해당 보안 위험을 즉시 주시할 것을 권고한다.
즐겨찾기 추가
소셜 미디어 공유
