TechFlow đưa tin, ngày 22 tháng 9, chuyên gia an ninh SlowMist 23pds đăng bài trên nền tảng X cho biết về phương thức tấn công mới nhằm bỏ qua xác thực bằng khóa WebAuthn. Kẻ tấn công có thể thông qua tiện ích mở rộng trình duyệt độc hại hoặc lỗ hổng XSS trên trang web để chiếm quyền kiểm soát API WebAuthn, từ đó ép hệ thống hạ cấp xuống đăng nhập bằng mật khẩu hoặc thay đổi quy trình đăng ký khóa nhằm đánh cắp thông tin xác thực. Kiểu tấn công này có thể thực hiện mà không cần tiếp cận thiết bị hay truy cập chức năng nhận dạng sinh trắc học.
WebAuthn là tiêu chuẩn xác thực quan trọng do W3C và Liên minh FIDO xây dựng, hỗ trợ nhiều phương thức xác thực như khóa phần cứng, nhận dạng sinh trắc học, hiện đang được sử dụng rộng rãi trong đăng nhập bảo mật website. Đề nghị các doanh nghiệp và người dùng liên quan theo dõi sát rủi ro an ninh này.
