Passkeys fälschen: Untersuchung der Angriffsfläche von FIDO2/WebAuthn
Dieser Artikel befasst sich eingehend mit der Sicherheit von FIDO2-Passkeys. Der Autor hat kommerzielle Hardware-Schlüssel und Plattform-Authentifikatoren reverse-engineered und einen Software-only-Authentifikator erstellt, der ein FIDO2-Gerät ohne Kernel-Treiber imitiert. Dies ermöglichte das Fälschen und Wiedergeben von Passkey-Signaturen für kopflose Anmeldungen. Der detaillierte Prozess umfasst das Erfassen von Echtzeitverkehr, das Decodieren von HID-Handshakes, die Überprüfung von Attestationsdaten, den Aufbau einer Software-CTAP2-Engine und die Ausnutzung des integrierten virtuellen Authentifikators von Chrome. Der Autor hat sich erfolgreich ohne einen echten Sicherheitsschlüssel angemeldet, wobei er Schwachstellen hervorhob und Mitigationsmaßnahmen wie die obligatorische Durchsetzung des Signaturzählers, CDP-Berechtigungsbeschränkungen und Prüfungen auf der Relying-Party-Seite vorschlug, um die Sicherheit von Passkeys zu verbessern.