Criando Chaves de Acesso: Explorando a Superfície de Ataque FIDO2/WebAuthn
Este artigo mergulha na segurança das passkeys FIDO2. O autor fez engenharia reversa de chaves de hardware comerciais e autenticadores de plataforma, construindo um autenticador somente de software que imita um dispositivo FIDO2 sem drivers de kernel. Isso permitiu forjar e reproduzir assinaturas de passkeys para logins sem cabeça. O processo detalhado inclui capturar tráfego do mundo real, decodificar handshakes HID, verificar dados de atestação, construir um mecanismo de software CTAP2 e explorar o autenticador virtual embutido do Chrome. O autor fez login com sucesso sem uma chave de segurança real, destacando vulnerabilidades e propondo mitigações como a aplicação obrigatória do contador de assinatura, restrições de permissão CDP e verificações do lado do relying party para melhorar a segurança das passkeys.