Passkeys: Η SquareX αποκαλύπτει σημαντική ευπάθεια
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Passkeys: Η SquareX αποκαλύπτει σημαντική ευπάθεια
https://www.secnews.gr/657497/squarex-apokalyptei-euaptheia-passkeys/
Aug 28th 2025, 17:50
by Digital Fortress
Δεν είναι μυστικό ότι οι κωδικοί πρόσβασης είναι ιδιαίτερα ευάλωτοι σε επιθέσεις phishing και brute force επιθέσεις. Αυτό οδήγησε στην ευρεία υιοθέτηση των passkeys, μιας μεθόδου αυθεντικοποίησης, που αξιοποιεί ζεύγη κρυπτογραφικών κλειδιών και επιτρέπει στους χρήστες να συνδέονται σε υπηρεσίες με βιομετρικά στοιχεία ή ένα hardware key.
Σύμφωνα με τη FIDO, πάνω από 15 δισεκατομμύρια λογαριασμοί έχουν ενεργοποιήσει προστασία με passkeys, με το 69% των χρηστών παγκοσμίως να τα έχουν ενεργοποιήσει σε τουλάχιστον έναν λογαριασμό τους. Η υπόσχεση των passkeys είναι απλή – εξαλείψτε τους κωδικούς πρόσβασης, εξαλείψτε τις ευπάθειες.
Ωστόσο, οι ερευνητές της SquareX, Shourya Pratap Singh, Daniel Seetoh και Jonathan Lin, αποκάλυψαν μια σημαντική ευπάθεια στα passkeys, στο DEF CON 33. Η ευπάθεια θέτει σε κίνδυνο σημαντικούς λογαριασμούς τραπεζών, αγορών και εφαρμογών SaaS για επιχειρήσεις.
Δείτε επίσης: Προσοχή! Νέα επίθεση Sni5Gect στοχεύει το δίκτυο 5G
Πώς λειτουργούν τα passkeys;
Τα passkeys λειτουργούν χρησιμοποιώντας ένα ζεύγος κρυπτογραφικών κλειδιών. Το ιδιωτικό κλειδί αποθηκεύεται με ασφάλεια στη συσκευή του χρήστη, ενώ το δημόσιο κλειδί αποθηκεύεται στον διακομιστή της ιστοσελίδας. Κατά τη σύνδεση, ο χρήστης αυθεντικοποιείται τοπικά με τα βιομετρικά του στοιχεία, το τοπικό hardware key ή έναν κωδικό PIN.
Η ιστοσελίδα, στη συνέχεια, επαληθεύει αυτή την υπογραφή με το αντίστοιχο δημόσιο κλειδί για να επιτρέψει την πρόσβαση. Αυτός ο σχεδιασμός ενισχύει την ασφάλεια συνδέοντας το authentication με μια προεγγεγραμμένη συσκευή και ιστοσελίδα. Έτσι, εξαλείφονται οι κίνδυνοι που σχετίζονται με κλεμμένους, επαναχρησιμοποιημένους ή αδύναμους κωδικούς πρόσβασης.
Όλη η επικοινωνία μεταξύ του διακομιστή και της συσκευής του χρήστη μεταδίδεται μέσω του προγράμματος περιήγησης. Αυτό σημαίνει ότι τα passkeys λειτουργούν υπό την υπόθεση ότι το πρόγραμμα περιήγησης είναι "αξιόπιστο". Οι ερευνητές της SquareX, όμως, έδειξαν ότι μέσω σχετικά απλών scripts και κακόβουλων επεκτάσεων προγράμματος περιήγησης, οι επιτιθέμενοι μπορούν να υποκλέψουν και να πλαστογραφήσουν τη διαδικασία εγγραφής passkey, αποκτώντας πρόσβαση σε λογαριασμούς χωρίς την πραγματική συσκευή ή τα βιομετρικά στοιχεία.
Δείτε επίσης: Προειδοποίηση: Χάκερς Επιτίθενται σε FreePBX Servers
Ακόμη και με εγγεγραμμένα passkeys, οι επιτιθέμενοι μπορούν να προκαλέσουν αποτυχία στη σύνδεση με passkey, αναγκάζοντας τους χρήστες να καταχωρήσουν ξανά τα passkeys τους σε ένα περιβάλλον ελεγχόμενο από τον επιτιθέμενο.
"Τα passkeys είναι μια ιδιαίτερα αξιόπιστη μορφή αυθεντικοποίησης, οπότε όταν οι χρήστες βλέπουν ένα μήνυμα για βιομετρικό έλεγχο, το θεωρούν ασφαλές", λέει η SquareX. "Αυτό που δεν γνωρίζουν είναι ότι οι επιτιθέμενοι μπορούν εύκολα να πλαστογραφήσουν τις εγγραφές και την αυθεντικοποίηση passkey υποκλέπτοντας το passkey workflow στο πρόγραμμα περιήγησης. Αυτό θέτει σε κίνδυνο σχεδόν κάθε εφαρμογή για επιχειρήσεις και καταναλωτές, συμπεριλαμβανομένων κρίσιμων τραπεζικών apps και εφαρμογών αποθήκευσης δεδομένων".
Δυστυχώς, τα παραδοσιακά εργαλεία ασφαλείας όπως τα EDR και SASE/SSE δεν διαθέτουν την απαραίτητη ορατότητα στο πρόγραμμα περιήγησης για να ανιχνεύσουν passkey exploits. Από την πλευρά του χρήστη, η επίθεση είναι πανομοιότυπη με ένα νόμιμο passkey workflow. Με άλλα λόγια, δεν υπάρχει κανένας οπτικός δείκτης ή σήμα δικτύου που να μπορεί να επαληθεύσει τη νομιμότητα της υπηρεσίας αυθεντικοποίησης και/ή του αιτήματος. Έτσι, ο μόνος τρόπος για να αποτραπεί η εκμετάλλευση είναι η παρακολούθηση και ο αποκλεισμός οποιωνδήποτε κακόβουλων scripts και επεκτάσεων απευθείας στο πρόγραμμα περιήγησης.
Με πάνω από το 80% των δεδομένων των επιχειρήσεων να βρίσκονται τώρα σε εφαρμογές SaaS, τα passkeys αναδεικνύονται ως η κυρίαρχη μέθοδος αυθεντικοποίησης για την πρόσβαση σε αυτές τις πλατφόρμες.
Δείτε επίσης: CISA: Οδηγός για προστασία δικτύων από τους Κινέζους hackers Salt Typhoon
Η έρευνα της SquareX έδειξε ότι τα προγράμματα περιήγησης αντιπροσωπεύουν το ευάλωτο σημείο στην ασφάλεια των passkeys και παρέχουν το έδαφος για πολλαπλούς διαύλους επίθεσης που μπορούν να αξιοποιήσουν κακόβουλοι παράγοντες για να εκμεταλλευτούν τα passkeys.
Καθώς τα passkeys καθιερώνονται ως το χρυσό πρότυπο αυθεντικοποίησης, οι επιχειρήσεις πρέπει να διασφαλίσουν ότι υπάρχουν ισχυρά μέτρα ασφαλείας για την προστασία του περιβάλλοντος όπου λειτουργούν οι χρήστες και τα passkeys – το πρόγραμμα περιήγησης.
© SecNews.gr - Passkeys: Η SquareX αποκαλύπτει σημαντική ευπάθεια
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Passkeys: Η SquareX αποκαλύπτει σημαντική ευπάθεια
https://www.secnews.gr/657497/squarex-apokalyptei-euaptheia-passkeys/
Aug 28th 2025, 17:50
by Digital Fortress
Δεν είναι μυστικό ότι οι κωδικοί πρόσβασης είναι ιδιαίτερα ευάλωτοι σε επιθέσεις phishing και brute force επιθέσεις. Αυτό οδήγησε στην ευρεία υιοθέτηση των passkeys, μιας μεθόδου αυθεντικοποίησης, που αξιοποιεί ζεύγη κρυπτογραφικών κλειδιών και επιτρέπει στους χρήστες να συνδέονται σε υπηρεσίες με βιομετρικά στοιχεία ή ένα hardware key.
Σύμφωνα με τη FIDO, πάνω από 15 δισεκατομμύρια λογαριασμοί έχουν ενεργοποιήσει προστασία με passkeys, με το 69% των χρηστών παγκοσμίως να τα έχουν ενεργοποιήσει σε τουλάχιστον έναν λογαριασμό τους. Η υπόσχεση των passkeys είναι απλή – εξαλείψτε τους κωδικούς πρόσβασης, εξαλείψτε τις ευπάθειες.
Ωστόσο, οι ερευνητές της SquareX, Shourya Pratap Singh, Daniel Seetoh και Jonathan Lin, αποκάλυψαν μια σημαντική ευπάθεια στα passkeys, στο DEF CON 33. Η ευπάθεια θέτει σε κίνδυνο σημαντικούς λογαριασμούς τραπεζών, αγορών και εφαρμογών SaaS για επιχειρήσεις.
Δείτε επίσης: Προσοχή! Νέα επίθεση Sni5Gect στοχεύει το δίκτυο 5G
Πώς λειτουργούν τα passkeys;
Τα passkeys λειτουργούν χρησιμοποιώντας ένα ζεύγος κρυπτογραφικών κλειδιών. Το ιδιωτικό κλειδί αποθηκεύεται με ασφάλεια στη συσκευή του χρήστη, ενώ το δημόσιο κλειδί αποθηκεύεται στον διακομιστή της ιστοσελίδας. Κατά τη σύνδεση, ο χρήστης αυθεντικοποιείται τοπικά με τα βιομετρικά του στοιχεία, το τοπικό hardware key ή έναν κωδικό PIN.
Η ιστοσελίδα, στη συνέχεια, επαληθεύει αυτή την υπογραφή με το αντίστοιχο δημόσιο κλειδί για να επιτρέψει την πρόσβαση. Αυτός ο σχεδιασμός ενισχύει την ασφάλεια συνδέοντας το authentication με μια προεγγεγραμμένη συσκευή και ιστοσελίδα. Έτσι, εξαλείφονται οι κίνδυνοι που σχετίζονται με κλεμμένους, επαναχρησιμοποιημένους ή αδύναμους κωδικούς πρόσβασης.
Όλη η επικοινωνία μεταξύ του διακομιστή και της συσκευής του χρήστη μεταδίδεται μέσω του προγράμματος περιήγησης. Αυτό σημαίνει ότι τα passkeys λειτουργούν υπό την υπόθεση ότι το πρόγραμμα περιήγησης είναι "αξιόπιστο". Οι ερευνητές της SquareX, όμως, έδειξαν ότι μέσω σχετικά απλών scripts και κακόβουλων επεκτάσεων προγράμματος περιήγησης, οι επιτιθέμενοι μπορούν να υποκλέψουν και να πλαστογραφήσουν τη διαδικασία εγγραφής passkey, αποκτώντας πρόσβαση σε λογαριασμούς χωρίς την πραγματική συσκευή ή τα βιομετρικά στοιχεία.
Δείτε επίσης: Προειδοποίηση: Χάκερς Επιτίθενται σε FreePBX Servers
Ακόμη και με εγγεγραμμένα passkeys, οι επιτιθέμενοι μπορούν να προκαλέσουν αποτυχία στη σύνδεση με passkey, αναγκάζοντας τους χρήστες να καταχωρήσουν ξανά τα passkeys τους σε ένα περιβάλλον ελεγχόμενο από τον επιτιθέμενο.
"Τα passkeys είναι μια ιδιαίτερα αξιόπιστη μορφή αυθεντικοποίησης, οπότε όταν οι χρήστες βλέπουν ένα μήνυμα για βιομετρικό έλεγχο, το θεωρούν ασφαλές", λέει η SquareX. "Αυτό που δεν γνωρίζουν είναι ότι οι επιτιθέμενοι μπορούν εύκολα να πλαστογραφήσουν τις εγγραφές και την αυθεντικοποίηση passkey υποκλέπτοντας το passkey workflow στο πρόγραμμα περιήγησης. Αυτό θέτει σε κίνδυνο σχεδόν κάθε εφαρμογή για επιχειρήσεις και καταναλωτές, συμπεριλαμβανομένων κρίσιμων τραπεζικών apps και εφαρμογών αποθήκευσης δεδομένων".
Δυστυχώς, τα παραδοσιακά εργαλεία ασφαλείας όπως τα EDR και SASE/SSE δεν διαθέτουν την απαραίτητη ορατότητα στο πρόγραμμα περιήγησης για να ανιχνεύσουν passkey exploits. Από την πλευρά του χρήστη, η επίθεση είναι πανομοιότυπη με ένα νόμιμο passkey workflow. Με άλλα λόγια, δεν υπάρχει κανένας οπτικός δείκτης ή σήμα δικτύου που να μπορεί να επαληθεύσει τη νομιμότητα της υπηρεσίας αυθεντικοποίησης και/ή του αιτήματος. Έτσι, ο μόνος τρόπος για να αποτραπεί η εκμετάλλευση είναι η παρακολούθηση και ο αποκλεισμός οποιωνδήποτε κακόβουλων scripts και επεκτάσεων απευθείας στο πρόγραμμα περιήγησης.
Με πάνω από το 80% των δεδομένων των επιχειρήσεων να βρίσκονται τώρα σε εφαρμογές SaaS, τα passkeys αναδεικνύονται ως η κυρίαρχη μέθοδος αυθεντικοποίησης για την πρόσβαση σε αυτές τις πλατφόρμες.
Δείτε επίσης: CISA: Οδηγός για προστασία δικτύων από τους Κινέζους hackers Salt Typhoon
Η έρευνα της SquareX έδειξε ότι τα προγράμματα περιήγησης αντιπροσωπεύουν το ευάλωτο σημείο στην ασφάλεια των passkeys και παρέχουν το έδαφος για πολλαπλούς διαύλους επίθεσης που μπορούν να αξιοποιήσουν κακόβουλοι παράγοντες για να εκμεταλλευτούν τα passkeys.
Καθώς τα passkeys καθιερώνονται ως το χρυσό πρότυπο αυθεντικοποίησης, οι επιχειρήσεις πρέπει να διασφαλίσουν ότι υπάρχουν ισχυρά μέτρα ασφαλείας για την προστασία του περιβάλλοντος όπου λειτουργούν οι χρήστες και τα passkeys – το πρόγραμμα περιήγησης.
© SecNews.gr - Passkeys: Η SquareX αποκαλύπτει σημαντική ευπάθεια
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672