A comunidade de cibersegurança recebeu um alerta contundente na DEF CON 33 quando pesquisadores da SquareX expuseram vulnerabilidades críticas em sistemas de autenticação com passkeys que comprometem fundamentalmente as promessas de segurança da autenticação sem senhas. Essas descobertas questionam o impulso generalizado em direção à eliminação de senhas e revelam que as implementações atuais de passkeys podem introduzir novos vetores de ataque em vez de resolver as fraquezas tradicionais de autenticação.
As passkeys, que utilizam pares de chaves criptográficas armazenadas em dispositivos usuários e sincronizadas entre plataformas, foram promovidas como a solução definitiva contra phishing, credential stuffing e ataques de reutilização de senhas. No entanto, a pesquisa da SquareX demonstra que múltiplas falhas de implementação permitem que atacantes contornem essas proteções através de cadeias de ataque sofisticadas.
A pesquisa identificou três categorias principais de vulnerabilidades: ataques de sequestro de sessão que exploram mecanismos de sincronização entre dispositivos, falhas de implementação em navegadores principais que permitem acesso não autorizado a passkeys, e fraquezas de design em como as plataformas lidam com a validação de chaves criptográficas. Essas vulnerabilidades afetam todas as plataformas principais incluindo implementações de Windows, macOS, iOS e Android.
Uma descoberta crítica envolve o processo de sincronização entre dispositivos. Os atacantes podem interceptar e manipular solicitações de sincronização, potencialmente ganhando acesso não autorizado a bancos de dados de passkeys. Isso compromete a premissa fundamental de segurança de que as passkeys permanecem armazenadas com segurança em dispositivos usuários individuais.
As falhas de implementação em navegadores foram particularmente preocupantes. Os pesquisadores descobriram que vários navegadores principais não isolam adequadamente os contextos de autenticação com passkeys, permitindo que sites maliciosos ativem prompts de autenticação para sites legítimos através de ataques cuidadosamente elaborados. Isso efetivamente recria riscos de phishing que as passkeys supostamente eliminariam.
A pesquisa também revelou que muitas plataformas não validam adequadamente as provas criptográficas durante a autenticação, permitindo que atacantes com acesso parcial a dispositivos escalem privilégios e obtenham capacidades completas de autenticação. Isso é particularmente problemático para ambientes empresariais onde ocasionalmente ocorre compartilhamento de dispositivos.
Essas vulnerabilidades têm implicações imediatas para organizações em transição para autenticação sem senhas. As equipes de segurança devem reavaliar suas estratégias de implementação de passkeys e implementar monitoramento adicional para padrões de autenticação anômalos. Os desenvolvedores precisam abordar as falhas de design fundamentais identificadas na pesquisa.
A apresentação na DEF CON incluiu demonstrações ao vivo mostrando exploração prática dessas vulnerabilidades, enfatizando que estas não são preocupações teóricas mas ameaças imediatas. Os pesquisadores demonstraram com sucesso bypass completo de autenticação em várias plataformas populares utilizando as técnicas divulgadas.
A resposta da indústria foi rápida, com principais provedores de plataformas reconhecendo as descobertas e comprometendo-se com atualizações de segurança. No entanto, a natureza fundamental de algumas vulnerabilidades sugere que a mitigação completa pode requerer mudanças arquitetônicas significativas em vez de simples correções.
Os profissionais de segurança devem imediatamente revisar seu status de implementação de passkeys, avaliar exposição potencial a essas vulnerabilidades, e considerar implementar salvaguardas adicionais de autenticação até que estejam disponíveis correções abrangentes. A autenticação multifator permanece recomendada mesmo com implementações de passkeys.
Essas descobertas representam um revés significativo para o movimento sem senhas mas proporcionam insights valiosos para desenvolver sistemas de autenticação mais robustos. A comunidade de cibersegurança deve agora trabalhar colaborativamente para abordar essas falhas fundamentais enquanto mantém progresso em direção a métodos de autenticação mais seguros.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.