CISO SlowMist: Login kunci WebAuthn memiliki risiko keamanan besar

Menurut ChainCatcher, Chief Information Security Officer SlowMist 23pds memposting di platform X bahwa terdapat metode serangan bypass login kunci WebAuthn yang baru. Penyerang dapat menggunakan ekstensi browser berbahaya atau kerentanan XSS situs web untuk membajak API WebAuthn, memaksa penurunan ke login dengan kata sandi atau memanipulasi proses registrasi kunci untuk mencuri kredensial. Serangan ini dapat dilakukan tanpa kontak fisik dengan perangkat atau akses ke fitur biometrik.

WebAuthn adalah standar autentikasi Web penting yang dikembangkan oleh W3C dan FIDO Alliance, mendukung berbagai metode autentikasi seperti kunci perangkat keras dan biometrik, dan saat ini banyak digunakan untuk login aman di situs web. Disarankan agar perusahaan dan pengguna terkait segera memperhatikan risiko keamanan ini.