蓝牙范围内的PassKeys钓鱼攻击:重大移动浏览器漏洞
2025-03-19
安全研究人员发现了一个影响所有主流移动浏览器的漏洞,攻击者可在蓝牙范围内通过触发FIDO:/意图劫持PassKeys账户。攻击者利用受控网页诱导受害者访问FIDO:/ URI,从而启动合法的PassKeys身份验证意图,最终在攻击者设备上接收凭据,实现PassKeys钓鱼攻击。该漏洞打破了PassKeys无法被钓鱼的假设,攻击者无需复杂的Web应用配置即可实现账户接管。所有主要移动浏览器已修复此漏洞(CVE-2024-9956)。