Creación de Passkeys: Explorando la Superficie de Ataque FIDO2/WebAuthn
Este artículo profundiza en la seguridad de las passkeys FIDO2. El autor realizó ingeniería inversa de claves de hardware comerciales y autenticadores de plataforma, construyendo un autenticador solo de software que imita un dispositivo FIDO2 sin controladores de kernel. Esto permitió falsificar y reproducir firmas de passkeys para inicios de sesión sin cabeza. El proceso detallado incluye capturar tráfico del mundo real, decodificar handshakes HID, verificar datos de atestación, construir un motor de software CTAP2 y explotar el autenticador virtual integrado de Chrome. El autor inició sesión con éxito sin una clave de seguridad real, destacando vulnerabilidades y proponiendo mitigaciones como la aplicación obligatoria del contador de firmas, restricciones de permisos CDP y verificaciones del lado del relying party para mejorar la seguridad de las passkeys.