Nieuw beveiligingslek maakt WebAuthn logins kwetsbaar voor aanval
Een nieuwe aanvalsmethode op het WebAuthn systeem zorgt voor flinke onrust binnen de beveiligingswereld. Onderzoekers van SlowMist slaan alarm over een kwetsbaarheid die het mogelijk maakt om de WebAuthn API te kapen, zelfs zonder fysieke toegang tot het apparaat van de gebruiker. Inloggegevens zijn zo makkelijker te stelen dan velen denken.
Inloggen met sleutel is niet meer automatisch veilig
WebAuthn, een beveiligingsstandaard van de W3C en FIDO Alliance, staat bekend als veilig alternatief voor wachtwoorden. Met fysieke sleutels zoals YubiKey of biometrie zoals Touch ID of Windows Hello kunnen gebruikers normaal gesproken veilig inloggen. Maar een nieuw ontdekte aanvalstechniek zet daar vraagtekens bij. Kwaadaardige browser extensies of XSS kwetsbaarheden op websites maken het mogelijk om de WebAuthn API te manipuleren.
🚨SlowMist TI Alert🚨 New Attack Bypasses WebAuthn Key-Based Logins.⚠️This attack allows perpetrators to🧩hijack the WebAuthn API through malicious browser extensions or by exploiting💻XSS vulnerabilities on websites. Consequently, attackers can force a downgrade to password… https://t.co/aIlNJ1Fvkl
Het gevaar? Aanvallers kunnen gebruikers dwingen om hun wachtwoord te gebruiken in plaats van een sleutel, of zelfs het hele sleutelregistratieproces omzeilen. Hierdoor kunnen ze zich voordoen als het slachtoffer, met alle gevolgen van dien. Wat deze aanval extra zorgwekkend maakt, is dat er geen toegang nodig is tot het apparaat van het slachtoffer, noch Face ID of een vingerafdruk.
Extensies en XSS vormen het grootste risico
Volgens SlowMist zitten de zwakke plekken vooral in kwaadaardige browserextensies en XSS aanvallen (cross site scripting). Als een website vatbaar is voor XSS of een gebruiker een verdachte extensie heeft geïnstalleerd, kunnen aanvallers de WebAuthn API direct manipuleren. Hierdoor kan een legitieme sleutel login worden omgezet in een wachtwoord login, waarbij het slachtoffer denkt veilig te zijn terwijl inloggegevens worden onderschept.
WebAuthn is ontworpen om wachtwoorden te vervangen of aan te vullen met publieke sleutelcryptografie. Maar deze aanval bewijst dat de implementatie even belangrijk is als de techniek zelf. Sites met zwakke beveiliging of gebruikers met onbetrouwbare extensies vormen een reëel risico. Vergelijkbaar met hoe crypto scams vaak misbruik maken van menselijke fouten of zwakke plekken in systemen.
Gebruikers die op dit moment vertrouwen op hardware sleutels of biometrische login doen er goed aan extra alert te zijn. Vermijd het gebruik van onbekende browserextensies en wees voorzichtig met inloggen op minder bekende websites. Voor ontwikkelaars is het cruciaal om XSS gaten te dichten en API integratie goed te beveiligen.
Geen financieel advies. Blockchain Stories biedt uitsluitend educatieve en informatieve content. Crypto assets zijn zeer volatiel en je kunt je volledige inleg verliezen. Doe altijd je eigen onderzoek. Lees onze volledige disclaimer.
Affiliate vermelding. Sommige links op deze site zijn partner/affiliate links. Als je je via zo'n link aanmeldt bij een partner, ontvangen wij mogelijk een commissie, zonder extra kosten voor jou. Dit beïnvloedt nooit onze berichtgeving. Lees onze redactionele richtlijnen.
Meer Nieuws
Meer nieuws ›
