パスキーの偽造:FIDO2/WebAuthnの攻撃対象領域の調査
2025-06-24
この記事は、FIDO2パスキーのセキュリティについて深く掘り下げています。著者は、市販のハードウェアキーとプラットフォーム認証子をリバースエンジニアリングし、カーネルドライバなしでFIDO2デバイスを模倣するソフトウェアオンリーの認証子を構築しました。これにより、ヘッドレスログインのためにパスキー署名を偽造および再生することが可能になりました。詳細なプロセスには、現実世界のトラフィックのキャプチャ、HIDハンドシェイクのデコード、アテステーションデータの検証、ソフトウェアCTAP2エンジンの構築、Chromeの組み込み仮想認証装置の悪用が含まれます。著者は、実際のセキュリティキーなしでログインすることに成功し、署名カウンタの強制適用、CDP権限の制限、およびパスキーセキュリティを強化するためのrelying party側のチェックなどの軽減策を提案しました。
テクノロジー
パスキーセキュリティ